Anticsrf. Un modulo cross site richiede il modulo di contraffazione (CSRF) per ASP.NET
Scarica ora

Anticsrf. Classifica e riepilogo

Anticsrf. Tag

proteggere ASP.NET. Modulo ASP.NET. Informazioni sul sito incrociato Modulo CSRF. Cross Site Request Forgery Attributo di classe Csrf. Compilare un sito ASP.NET cross-site request richiesta sito query tra siti Richiesta di domini incrociati cross Site Scripting

Anticsrf. Descrizione

ANTICSRF è stato progettato per essere un modulo di falsificazione (CSRF) di richiesta del sito incrociato per ASP.NET. ANTICSRF semplifica gli sviluppatori ASP.NET da proteggere se stessi contro il falso della Richiesta del sito incrociato. Non dovrai più aggiungere manualmente e controllare i token di protezione per proteggersi dagli attacchi CSRF. Il normale modo consigliato per aggiungere un token CSRF a un'applicazione ASP.NET è utilizzare ViewState in combinazione con un ViewStateSerkey. Ciò richiede che ViewState sia abilitato e un'applicazione per avere un modo per identificare un utente in modo univoco, di solito tramite un sessionID che a sua volta richiede lo stato di sessione da abilitare. ANTICSRF non ha questi requisiti; Invece se richiede che i cookie siano abilitati sul browser dell'utente e utilizza un cookie temporaneo, cancellato quando il browser è chiuso, per identificare un utente e un campo di forma nascosto per trasportare il token CSRF. L'approccio ViewStateSerKey protegge da attacchi a un clic. Attacco a un clic è a volte erroneamente indicato come nome di Microsoft per il falso di falso di richiesta. Tuttavia, questo non è interamente corretto. Gli attacchi a un clic per riferimento a un sottoinsieme degli attacchi CSRF - uno che utilizza un malizioso vista per eseguire la richiesta. Poiché i moduli Web sviluppati con ASP.NET utilizzano ViewState per Post-Back, un utente malintenzionato può eseguire il post-back che desidera che l'utente funzioni inconsapevolmente e registrare il viewstate. A causa del modo in cui ASP.NET ignora i verbi HTTP durante l'utilizzo di Richiesta.Params rispetto a richiesta.Form, e nei controlli Web, questa richiesta può essere spesso effettuata tramite Get.

Anticsrf. Software correlato