我们刚刚对使用 ASP.NET MVC 构建的应用程序进行了一些渗透测试,返回的建议之一是 Form 中 AntiForgeryToken 的值可以多次重新提交并且不会过期单次使用后。
根据OWASP recommendations围绕同步器 token 模式:
“一般来说,开发人员只需为当前 session 生成一次此 token 。”
这就是我认为 ASP.NET MVC AntiForgeryToken 的工作方式。
万一我们不得不打仗,是否有可能使 AntiForgeryToken 在每次验证后重新生成一个新值?
最佳答案
防伪 token 只是一个防 XSRF token 。特别是不是 一次性使用的随机数。如果您的应用程序需要一次性随机数,则不能为此目的使用防伪 token 。对此没有内置功能。
关于asp.net-mvc - 每次验证后是否可以更改 ASP.NET MVC 中的 AntiForgeryToken 值?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2220664/