有没有比 Anti Forgery Token 更好的方法,比如 asp.net mvc2 中的内置功能。我想编写自己的 http 模块以避免 CSRF。
另外据我所知,Antiforgerytoken 不会生成任何 cookie。 “双重提交cookie”是个好方法吗?
任何最佳实践或建议。
--编辑: 此链接很有用:Stackoverflow previous question
最佳答案
这个库看起来和你写的很相似。 http://anticsrf.codeplex.com/ 它使用 cookie 作为 token 。我用过它,它帮助我的项目通过了安全审查。
关于c# - 避免通过 httpmodules 在 asp.net mvc2 中使用跨站点脚本,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6812268/