Anti Forgery Token 检查什么,它实际上检查什么?
What does an Anti Forgery Token check for, and it actually check for?
看了其他几个问题后,我认为我对防伪令牌的理解是错误的。
我有几个控制器 post 动作采用相同的模型,但根据特定逻辑执行不同的动作。
通过在 Chrome 的开发人员工具中编辑表单的操作,我能够在我的代码中做一些意想不到的事情。
我猜我需要使用 ActionName("action") 数据注释来完成我现在需要做的事情,但是,我仍然很好奇令牌提供什么保护?是否纯粹是为了阻止外部网站 post 进入表单,但在应用程序内没有实际保护?
防伪令牌用于防止 CSRF(cross-site 请求伪造)攻击。就这些。想象一下恶意行为者设置 Facebook 登录页面克隆的场景。它看起来就像 Facebook 登录页面,并且通过某种方式,他们设法将用户汇集到那里(网络钓鱼电子邮件等)。用户输入他们的用户名和密码并点击提交。表单操作设置为转到 actual Facebook 登录页面,因此就用户而言,他们已登录并按预期进入了 Facebook。然而,恶意行为者能够在他们输入凭据时访问他们的凭据,现在可以继续窃取他们的 Facebook 帐户。
防伪令牌通过在页面上放置一个必须与生成的令牌匹配的令牌来防止这种情况 server-side,发布后。 third-party 无法生成自己匹配的令牌,因此现在任何执行类似上述操作的尝试都会立即失败。简而言之就是这样。
看了其他几个问题后,我认为我对防伪令牌的理解是错误的。
我有几个控制器 post 动作采用相同的模型,但根据特定逻辑执行不同的动作。
通过在 Chrome 的开发人员工具中编辑表单的操作,我能够在我的代码中做一些意想不到的事情。
我猜我需要使用 ActionName("action") 数据注释来完成我现在需要做的事情,但是,我仍然很好奇令牌提供什么保护?是否纯粹是为了阻止外部网站 post 进入表单,但在应用程序内没有实际保护?
防伪令牌用于防止 CSRF(cross-site 请求伪造)攻击。就这些。想象一下恶意行为者设置 Facebook 登录页面克隆的场景。它看起来就像 Facebook 登录页面,并且通过某种方式,他们设法将用户汇集到那里(网络钓鱼电子邮件等)。用户输入他们的用户名和密码并点击提交。表单操作设置为转到 actual Facebook 登录页面,因此就用户而言,他们已登录并按预期进入了 Facebook。然而,恶意行为者能够在他们输入凭据时访问他们的凭据,现在可以继续窃取他们的 Facebook 帐户。
防伪令牌通过在页面上放置一个必须与生成的令牌匹配的令牌来防止这种情况 server-side,发布后。 third-party 无法生成自己匹配的令牌,因此现在任何执行类似上述操作的尝试都会立即失败。简而言之就是这样。