-1
我阅读了如何使用< @ Html.AntiForgeryToken()>在隐藏字段中生成加密值,该字段还将匹配另一个值作为会话cookie存储在用户的浏览器中。令牌验证方法如何工作以防止在asp.net中的CSRF mvc3
但我的问题是: - 1.将在会话cookie的值也进行了加密, 2.如果是那么如何动作控制器上的[ValidateAntiforgeryToken]会知道如何解密这两个值和匹配?
BR
A
回答
1
将在会话cookie的值也进行了加密
是。它代表一个令牌。它与用于隐藏字段的值相同。其实这是帮助你做2件事的Html.AntiForgeryToken()。它会生成令牌并将其呈现在隐藏字段中,并且还会设置具有相同值的Cookie。
如果是,那么操作控制器上的[ValidateAntiforgeryToken]将如何知道如何解密这两个值并匹配它们?
它使用经典WebForms用于加密/解密ViewState的相同加密/解密算法。这是一个基于机器密钥的对称加密算法。这就是为什么如果您在网上服务器场中运行,则应确保您在所有节点上具有相同的机器密钥,因为如果在Web场的一个节点上生成并加密了防伪造令牌,则可能无法在另一个节点上解密节点发送POST请求时,如果机器密钥不匹配。
相关问题
- 1. 防止CSRF漏洞,CSRF的替代方法令牌
- 2. ASP.NET如何验证防伪令牌
- 3. 无法在rails中验证CSRF令牌的真实性
- 4. 无CSRF令牌的身份验证
- 5. CSRF令牌不在STRUTS中工作1.1
- 6. 无法在Rails + React App中验证CSRF令牌
- 7. CSRF 403禁止 - 无效的CSRF令牌
- 8. 在ASP.NET 5中手动防伪令牌创建和验证
- 9. 我应该使用HTTP引用者验证还是令牌验证来防止CSRF攻击?
- 10. 身份验证令牌在ASP.NET Web应用程序中无法正常工作
- 11. 无法验证CSRF令牌的真实性
- 12. Devise token auth无法验证CSRF令牌的真实性
- 13. Rails/Doorkeeper:无法验证CSRF令牌的真实性
- 14. Rails 5 devise_token_auth无法验证CSRF令牌的真实性
- 15. 在基于令牌的身份验证中,令牌如何验证?
- 16. 如何验证JQuery/AJAX引用来防止CSRF?
- 17. csrf和防伪造令牌在MVC 2,不想验证AJAX帖子
- 18. 无法验证CSRF令牌! Angular 2和弹簧安全
- 19. 导轨无法验证CSRF令牌真实性
- 20. Rails部署导致“无法验证CSRF令牌真实性”
- 21. 防止ASP.NET MVC中的CSRF攻击
- 22. 如何在Express中生成CSRF令牌?
- 23. 如何验证SAML令牌
- 24. EPPlus的验证方法如何工作?
- 25. 在asp.net MVC3的Javascript验证
- 26. 如何防止MVC3 html转义我的验证消息?
- 27. JSF 2.0如何防止CSRF
- 28. 如果使用'AllowAny'权限类,如何防止Django Rest Framework验证令牌?
- 29. ASP.NET MVC3比较验证无法正常工作
- 30. 在提交表单和验证表单后更改CSRF令牌