AntiForgeryToken用於防止CSRF攻擊,但是MSDN上的鏈接並沒有讓我對AntiForgeryToken究竟做什麼,或者它如何工作,或者爲什麼事情按照它們的方式完成了很多瞭解。ASP.NET MVC3的AntiForgeryToken的實現細節和基本原理是什麼?
從我收集的內容中,它會在網頁和cookie中創建一個散列。其中一個或兩個人使用散列IPrincipal.Name
,並使用對稱加密。
任何人都可以闡明爲:
- 的AntiForgeryToken內部是如何工作
- 我應該說,它是用來保護
- 什麼豈不是用來保護
- 什麼是推理在上面#1的實施選擇背後?
- 例子:
- 是實現從「DoubleSubmit」餅乾等常見漏洞安全
- 如果用戶打開多個標籤頁是否存在實施問題
- 是什麼讓MSFT的實現從一個可在SANS不同這裏
- 例子:
您是否想知道CSRF是什麼?特別是MS如何處理它?或者一般來說你會如何處理它? – CtrlDot 2011-03-23 00:58:45