26

正常に動作するいくつかのフォームを含む.NETC#MVCアプリケーションがあります。これで、これらのフォームを操作する必要のあるASP Classic vbscriptページも作成されましたが、通常の投稿を使用すると、__RequestVerificationTokenが設定されていないというエラーが発生しました。

そのため、ページをリクエストしてから、非表示の入力からのトークンとCookieを変数に格納し、POSTリクエストでlongを送信します。そしてそれは動作します。

しかし、それをバイパスするのがとても簡単であると見て、とにかくそれの使用は何ですか?それはほとんど保護を提供しません。

4

1 に答える 1

27

これは偽造防止トークンです(CSRF攻撃を防ぎます)。それは、ポスターがフォームを取得する人であることを保証します。

誰もがリンクを偽造して、パワードユーザーがリンクをアクティブ化するのを防ぎます。

于 2012-12-27T08:18:36.527 に答える