AJAX 呼び出しに http ハンドラーと jQuery を使用した Web アプリケーションがあります。
ここでの問題は、ユーザーが jQuery によって生成され、操作が実行されているブラウザーで同じ URL を入力できることです。
クエリ文字列を含むトークンを送信してから、サーバー側で操作を実行する前に適切なトークンを探すことができますか?
問題を正しく書いたことを願っています。
質問する
152 次
2 に答える
0
上記の技術は呼ばれます
クロスサイト リクエスト フォージェリ
リスクの影響
攻撃者は、悪意のあるトランザクションを実行するために、ログインしているユーザー セッションを乗っ取ることができます。
推奨事項
すべてのトランザクション ページにページ トークン (リクエストの追加パラメーターとしてのランダム トークン) を実装することをお勧めします。このトークンはランダムに生成され、ユーザーごとに一意である必要があります。
推奨される URL は次のとおりです。
http://www.owasp.org/index.php/CSRF_Guard
http://www.cgisecurity.com/csrf-faq.html
var cg = new CSRFGuard();
cg.SetupCSRFTokenNameAndValue();
SessionManager.CustomerConfig.CsrfTokenName = cg.CsrfTokenName;
SessionManager.CustomerConfig.CsrfTokenValue = cg.CsrfTokenValue;
どうもありがとう。
于 2012-10-10T04:28:50.957 に答える
0
MVC フレームワークでの処理方法と同様の方法でこれを処理する必要がある場合があります。 これは、潜在的な解決策を説明する同様の投稿です。
于 2012-07-31T13:43:41.810 に答える