是否有可能恶意网站通过发送get请求来访问防伪令牌？

文章/答案/技术大牛

发布

1回答

asp.net-mvc、csrf、antiforgerytoken

在跨站点请求伪造时：为了防止它，程序员使用了一个防伪令牌，这个令牌是一个包含随机值的字符串，除了HTML表单之外，这个令牌还会放在您的cookie中。当web应用程序收到<e

浏览 10提问于2018-02-27得票数 1

回答已采纳

1回答

所有表单都应该检查ASP .NET Web中相同的防伪令牌吗？

asp.net-core、asp.net-web-api、antiforgerytoken

因此，客户端通过调用以下命令从API请求表单：public IActionResult Edit([FromQuery] int id) var客户端将更新后的对象发送回API (头中包含了防伪造令牌)。FromQuery] int id, [FromBody] SomeClass updated) _objService.UpdateObj(id, obj);ASP.NET自动检查防伪<e

浏览 10提问于2022-10-28得票数 0

回答已采纳

2回答

CSRF MVC中的AntiForgeryToken能防止所有的ASP.NET攻击吗？

asp.net-mvc、ajax、security、csrf

使用AntiForgeryToken需要每个请求传递一个有效的令牌，因此带有简单脚本的恶意网页将不会向我的web应用程序发送数据。但是，如果恶意脚本首先发出一些简单的GET请求(通过)，以便下载在隐藏输入字段中包含防伪令牌的页面，提取它，并使用它生成有效的，该怎么办呢？有没有可能，或者我错过了什么？

浏览 0提问于2009-11-26得票数 18

回答已采纳

1回答

CSRF -发送ajax请求以获取令牌

php、session、csrf

我正在为我的网站开发CSRF保护。恶意网站发送POST请求更改先前提取的数据+令牌。在这种情况下这是可能的吗？我是

浏览 1提问于2017-12-28得票数 1

1回答

我们有一个ASP.NET MVC应用程序。使用@Html.AntiForgeryToken和ValidateAntiForgeryToken属性保护所有POST请求(表单提交)不受CSRF的影响。控制器上的操作方法之一是一个GET，它向用户返回一个报告(一个pdf文件，包含来自数据库的数据)。签名是：public ActionResult GetReport() // get data from db re

浏览 5提问于2016-02-18得票数 13

回答已采纳

4回答

Windows移动本机应用程序有CSRF吗？

mobile、csrf

我没有在移动应用程序上对CSRF进行任何控制，是否需要对本地应用程序进行CSRF保护？如果是，为什么？ **我的应用程序是本机应用程序，而不是在网页浏览器上。

浏览 5提问于2014-12-22得票数 0

回答已采纳

1回答

如何在无视图WebAPI ASP.NET核心应用程序中使用[授权]和防伪？

c#、ajax、asp.net-web-api、asp.net-core-2.0、antiforgerytoken

当我不能保证客户端将使用哪个平台时，我在严格的(即，少[Authorize] ) ASP.NET核心WebAPI项目中使用ASP.NET注解有困难。也就是说，应用程序需要是一个真正的API，它不需要特定的平台来访问。 dotnet新的mvc --个人当我通过AJAX访问一个标准的登录函数(下面是这个粘贴中的基本内容)时，我会得到一个JSON有效负载，并返回一个cookie。我的猜测是，单个cookie不足以通过[Authorized]标

浏览 0提问于2018-03-02得票数 2

回答已采纳

2回答

MVC防伪造令牌中默认的头/cookie的用途是什么？

csrf、asp.net-mvc

我读过，MVC防伪造令牌通过将安全令牌存储在表单字段中，然后将浏览器自动发送的默认标头/cookie值与MVC在每个请求中设置的字段值进行比较，从而击败CSRF攻击。由于恶意网站将不知道为存储令牌的字段提供什么值，因此CSRF攻击失败。那么，在头中存储令牌有什么意义呢？您就不能手动将令牌存储在Javascript的每个请求上的表单字段中，然后跳过比较吗

浏览 0提问于2017-05-11得票数 2

回答已采纳

2回答

如何通过反伪造GET请求防止CSRF攻击

c#、security、asp.net-mvc-5、antiforgerytoken、csrf-protection

ASP.NET MVC提供了一种通过生成防伪令牌来防止CSRF攻击的规定。如何通过GET<e

浏览 6提问于2014-07-07得票数 1

回答已采纳

3回答

在三层应用程序中需要AntiForgeryToken吗？

angular、security、csrf、x-xsrf-token

我的应用程序有一个.netCore WebApi服务层、一个带有RazorPages服务的.netCore WebApi和一个角化前端应用程序。在线读取所有CSRF令牌实现指的是RazorPages或类似的但不是前端应用程序。问题是:在三层体系结构中是否需要令牌？我要用我的铁来执行这个政策吗？这是一个真正的问题，这个工具正在检测吗？谢谢。

浏览 15提问于2022-04-13得票数 0

回答已采纳

1回答

OAuth2令牌验证和机密客户端

security、authentication、oauth-2.0、bearer-token

我有一个关于OAuth2和验证已分配令牌的客户端的问题。规范还指出，一旦分配了令牌，客户机就可以通过在auth头中传递令牌来请求信息，如下所示： GET(让我们称它们为App1和App2)，我们的服务器分别通过Token

浏览 3提问于2015-04-24得票数 1

回答已采纳

2回答

我是否应该使用AntiForgeryToken的所有形式，甚至登录和注册？

web-application、appsec、csrf、asp.net、asp.net-mvc

我正在运行一个相当大的网站，每天访问数千次，并且拥有相当大的用户群。自从我开始迁移到MVC 3之后，我一直将AntiForgeryToken放在许多形式中，这些表单可以修改受保护的数据等等。我真的想不出CSRF攻击在这里会有什么好处，特别是如果我检查请求来自同一个主机(检查引用头)。每次加载页面时，AntiForgeryToken令牌都会生成不同的值。如果我有两个标签打开登录页面，然后尝试张贴，第一个将成功加载。第二个页面将在AntiForgeryTokenException中失败(首先加载两个页面，然后尝试发布它们)。

浏览 0提问于2011-02-11得票数 87

回答已采纳

3回答

隐藏表单域中的md5标记

php、forms、security

我在不止一个网站上读到过这种保护表单的方法：<input type="hidden" name="token" value="<?php echo $token; ?>" />$token = md5(uniqid(rand(), TRUE));我确实理解，由于它的随机性，这段代码实际上是牢不可破的我不明白的是:为什么他们在一个可以在ht

浏览 2提问于2012-03-25得票数 1

回答已采纳

3回答

如何在用户重新加载页面时防止多个表单提交

design-patterns、php、api、soap、laravel

当前的实现允许我们在执行这些API请求数据之前利用Laravel框架的表单验证类；但是，由于我们没有利用任何类型的队列机制，所以我有些担心。当前的解决方案堆栈需要给NGINX web服务器带来沉重的负担，为每个阻塞的用户请求生成额外的工作人员。显然，这可能会导致在可扩展性方面的一些问题。在提交表单请求数据之后，用户也有可能频繁地“刷新”页面。我一直在研究后/重定向/获取模式作为一种可能的解决方案，但是我不太确定我是否完全理解这个概念。如前所述，这些

浏览 0提问于2015-07-05得票数 5

3回答

ASP.NET Core6WebAPI防伪令牌在外部用户(App)中的应用

c#、asp.net、asp.net-core、asp.net-core-webapi、antiforgerytoken

如何在ASP.NET Core6WebAPI中与iOS或Android等外部用户一起使用防伪令牌？我不需要对请求进行用户身份验证。该应用程序托管在另一个域上。我已经开发了一个带有防伪令牌()和ASP.NET 6 Razor页面的Web。一切都在正常工作。但是，如何开发使用此Web的extern应用程序呢？问题是，我不知道如何从“外部”应用程序创建防伪令牌？如何将应用程序配置为使用带有防伪令牌的Web？

浏览 18提问于2022-01-02得票数 4

2回答

XSRF保护获取.net mvc

security、asp.net-mvc-2、get、csrf

我有一个网站，将显示敏感信息。我正在使用防伪令牌等，以防止XSRF在帖子中。然而，我担心有人能够从GET查看敏感信息。在.Net MVC2中保护通过GET发送的只读数据的推荐做法是什么？

浏览 0提问于2010-09-13得票数 1

回答已采纳

1回答

获取CSRF令牌

web-application、csrf

正如我所读到的关于CSRF令牌的文章，服务器通常将CSRF令牌嵌入隐藏的标记上。这样，当将表单作为POST请求提交时，可以在服务器端发送和接收CSRF令牌以进行身份验证。因此，我的想法是，恶意脚本可能请求相同的表单(嵌入CSRF令牌)并使用CSRF令牌执行攻击。好的，假设您在浏览器上

浏览 0提问于2018-06-07得票数 2

回答已采纳

1回答

为桌面应用程序创建基于安全网站的登录

tls、authentication、api、web-authentication、access-token

我有一个桌面应用程序，我想通过一个网站进行身份验证，使用下面概述的过程：我单击我的Qt C++桌面应用程序上的"Login“按钮，它(使用TLS)建立与身份验证服务器的连接(可能通过POST请求发送到我的Firebase站点的端点)，后者发送一个一次性登录令牌。然后，桌面应用程序打开web浏览器，并将用户导航到一个身份验证URL，并将步骤1中的登录令牌编码为GET请求

浏览 0提问于2022-04-23得票数 0

回答已采纳

2回答

ASP.NET Core2.0中的防伪cookie

c#、asp.net、asp.net-mvc、asp.net-core-mvc、asp.net-core-2.0

我一直在努力弄清楚防伪是怎么运作的。让我困惑的是那些被创造出来的饼干。据我理解，您将防伪令牌包含在表单中，然后在发出请求时验证该令牌。这样，如果第三方网站发布到您的网站，它将被拒绝。现在，我在这里读到，防伪令牌存储在一个cookie中，也许我看错了？但是为什么呢？这样做的全部目的不就是让你的网站以外的人可以访问这个价值吗？如果我看一下我的cookie，我可以看到以它们的名字创建了3个用防伪创建的co

浏览 1提问于2018-07-09得票数 6

回答已采纳

2回答

如何防止人们将HTTP POST循环到函数中？

c#、.net、asp.net-mvc

我正在努力开发一个网站，该网站有一个弹出模式，允许用户订阅我们的最新推广。在这个输入中，我们得到了一个文本框，允许用户输入电子邮件。但是，当我们查看HTML代码时，HTTP是可见的：如果有人试图使用此URL和垃圾邮件HTTP请求(见下文)，则可以在subscriber数据库表中创建无限制条目。编辑:请注意，防伪造令牌不起作用，因为黑客可以使用GET下载整个HTML，并从防伪造令牌文本框中获取值，然后再将值发送</e

浏览 0提问于2018-04-29得票数 5

点击加载更多