【ASP.NET编程知识】浅谈ASP.NET MVC 防止跨站请求伪造(CSRF)攻击的实现方法.docx
59 浏览量
2023-05-21
20:20:58
上传
评论
收藏 740KB DOCX 举报
全文可编辑 word 文档 页眉与背景水印可删除
1
浅谈 ASP.NET MVC 防止跨站请求伪造(CSRF)
攻击的实现方法
在 HTTP POST 请求中,我们多次在 View 和 Controller
中看下如下代码:
1.View 中调用了 Html.AntiForgeryToken()。
2.Controller 中 的 方 法 添 加 了
[ValidateAntiForgeryToken]注解。
这样看似一对的写法其实是为了避免引入跨站请求伪
造(CSRF)攻击。
这种攻击形式大概在 2001 年才为人们所认知,2006 年
美国在线影片租赁网站 Netflix 爆出多个 CSRF 漏洞,2008
年流行的视频网址 YouTube 受到 CSRF 攻击,同年墨西哥一
家银行客户受到 CSRF 攻击,杀毒厂商 McAfee 也曾爆出 CSRF
攻击(引自 wikipedia)。
之所以很多大型网址也遭遇 CSRF 攻击,是因为 CSRF 攻
击本身的流程就比较长,很多开发人员可能在几年的时间都
没遇到 CSRF 攻击,因此对 CSRF 的认知比较模糊,没有引起
足够的重视。
CSRF 攻击的模拟示例
我们这里将通过一个模拟的示例,讲解 CSRF 的攻击原
剩余16页未读,继续阅读
资源评论
