4

ASP.NET MVC を使用して構築したアプリケーションでペネトレーション テストを実行したところ、返された推奨事項の 1 つは、フォーム内の AntiForgeryToken の値を複数回再送信でき、期限切れにならないというものでした。 1回の使用後。

Synchronizer Token Patternに関する OWASP の推奨事項によると、次のようになります。

「一般に、開発者は現在のセッションでこのトークンを 1 回生成するだけで済みます。」

これが、ASP.NET MVC AntiForgeryToken が機能すると私が考える方法です。

戦いを戦わなければならない場合、各検証後に AntiForgeryToken に新しい値を再生成させることは可能ですか?

4

2 に答える 2

8

偽造防止トークンは単なる XSRF トークンです。特に、使い捨てナンスではありません。アプリケーションに使い捨てナンスが必要な場合、この目的で偽造防止トークンを使用することはできません。このための組み込み機能はありません。

于 2010-04-23T16:47:36.967 に答える
-1

おそらく、3 つのパラメーターのコンストラクターを使用して AntiForgeryToken を使用できます。

ソルトの使用は常に推奨されますが、ドメインとパスごとにトークンを制限すると、トークンがより安全になり、ページごとに一意になります。

XSS の脆弱性がない場合、この問題はあなたの Web サイトで大きな問題になることはありません :) // これは私が書きましたか? 確かに私は問題をよく読んでいませんでした。

乾杯!

于 2010-02-08T11:58:17.810 に答える