asp.net-mvc - 每次验证后是否可以更改 ASP.NET MVC 中的 AntiForgeryToken 值?

标签 asp.net-mvc security antiforgerytoken

我们刚刚对使用 ASP.NET MVC 构建的应用程序进行了一些渗透测试,返回的建议之一是 Form 中 AntiForgeryToken 的值可以多次重新提交并且不会过期单次使用后。

根据OWASP recommendations围绕同步器 token 模式:

“一般来说,开发人员只需为当前 session 生成一次此 token 。”

这就是我认为 ASP.NET MVC AntiForgeryToken 的工作方式。

万一我们不得不打仗,是否有可能使 AntiForgeryToken 在每次验证后重新生成一个新值?

最佳答案

防伪 token 只是一个防 XSRF token 。特别是不是 一次性使用的随机数。如果您的应用程序需要一次性随机数,则不能为此目的使用防伪 token 。对此没有内置功能。

关于asp.net-mvc - 每次验证后是否可以更改 ASP.NET MVC 中的 AntiForgeryToken 值?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2220664/

上一篇:.NET - Return 是否会阻止对象处理

下一篇:raku - 我如何开始使用 Perl 6?

相关文章:

asp.net - Visual Studio 2015 Web 应用程序 .NET Core 与 .NET Framework

asp.net-mvc - 身份验证 token 和 Html.AntiforgeryToken 的上传问题(插件不发送 cookie)

asp.net-mvc - ASP.MVC 防伪 token 和加密错误

asp.net-mvc - ASP.NET MVC AntiForgeryToken 在 GET 上抛出异常?

c# - 在 View 中创建新的 SelectList 时未设置 DropDownListFor 值

jquery - 点击后CSS样式仍然保留

c# - ASP.NET MVC - 无法将 string[] 值传递给另一个 Controller 操作

security - 如何不对密码进行硬编码?

api - preload.js 中的 ipcRenderer.on 如何检测 webContents.send?

security - 在桌面客户端-服务器应用程序中集成 facebook 登录

©2024 IT工具网  联系我们