ASP.NetMVCサイトがあるとします。HTTP_REFERERが自分のサイトを指すように、コントローラーメソッド(おそらくアクションの属性を使用)をロックするにはどうすればよいですか?
拡大するために:
コントローラーには、Cookieが設定されていない*ユーザーが入るのを防ぐために[承認]とマークされた多くのJSONアクションがあります。
卑劣な誰かが攻撃者のWebページを作成し、それを私のサイトにログインしているユーザーに電子メールで送信します。そのページには、JSONコントローラーアクションからフェッチするスクリプトが含まれています。これにより、ユーザーのブラウザはログインしたCookieを許可されたコントローラメソッドに送信し、そのユーザーのデータを攻撃者のWebページに戻し、攻撃者はそれを読み取って他の場所に渡すことができます。
HTTP_REFERERが自分のサイトを指すようにこれらのリクエストをロックできれば、JSONをリクエストするためのクロスサイト攻撃は防止されます。最も簡単な方法は何ですか?
明らかに、JSON、承認済み、またはすべてのリクエストをロックしたくないことに注意してください。ユーザーは引き続きサイトにリンクできる必要があります。ただし、承認されたJSONリクエストには、当サイトのページ以外からアクセスすることはできません。
*はい、私はこの言葉を作りました。