如何具体实现ASP.NET MVC框架中防止跨站请求伪造(CSRF)攻击的多种策略和最佳实践?
- 内容介绍
- 文章标签
- 相关推荐
本文共计1905个文字,预计阅读时间需要8分钟。
在HTTP POST请求中,我们多次在View和Controller中看到以下代码:
1. View中调用了Html.AntiForgeryToken()。
2.Controller中的方法添加了[ValidateAntiForgeryToken]注解。
看似是对同一对写法的重复,实则目的是为了避免伪造。
在HTTP POST请求中,我们多次在View和Controller中看下如下代码:
1.View中调用了Html.AntiForgeryToken()。
2.Controller中的方法添加了[ValidateAntiForgeryToken]注解。
这样看似一对的写法其实是为了避免引入跨站请求伪造(CSRF)攻击。
这种攻击形式大概在2001年才为人们所认知,2006年美国在线影片租赁网站Netflix爆出多个CSRF漏洞,2008年流行的视频网址YouTube受到CSRF攻击,同年墨西哥一家银行客户受到CSRF攻击,杀毒厂商McAfee也曾爆出CSRF攻击(引自wikipedia)。
之所以很多大型网址也遭遇CSRF攻击,是因为CSRF攻击本身的流程就比较长,很多开发人员可能在几年的时间都没遇到CSRF攻击,因此对CSRF的认知比较模糊,没有引起足够的重视。
本文共计1905个文字,预计阅读时间需要8分钟。
在HTTP POST请求中,我们多次在View和Controller中看到以下代码:
1. View中调用了Html.AntiForgeryToken()。
2.Controller中的方法添加了[ValidateAntiForgeryToken]注解。
看似是对同一对写法的重复,实则目的是为了避免伪造。
在HTTP POST请求中,我们多次在View和Controller中看下如下代码:
1.View中调用了Html.AntiForgeryToken()。
2.Controller中的方法添加了[ValidateAntiForgeryToken]注解。
这样看似一对的写法其实是为了避免引入跨站请求伪造(CSRF)攻击。
这种攻击形式大概在2001年才为人们所认知,2006年美国在线影片租赁网站Netflix爆出多个CSRF漏洞,2008年流行的视频网址YouTube受到CSRF攻击,同年墨西哥一家银行客户受到CSRF攻击,杀毒厂商McAfee也曾爆出CSRF攻击(引自wikipedia)。
之所以很多大型网址也遭遇CSRF攻击,是因为CSRF攻击本身的流程就比较长,很多开发人员可能在几年的时间都没遇到CSRF攻击,因此对CSRF的认知比较模糊,没有引起足够的重视。