Ist es möglich, den AntiForgeryToken Wert in ASP.NET MVC Änderung nach jeder Überprüfung zu machen?
https://stackoverflow.com/questions/2220664
-
19-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Wir haben gerade einige Penetration Testing hatte auf eine Anwendung ausgeführt wir ASP.NET MVC gebaut haben verwenden und eine der Empfehlungen, die kam, war wieder, dass der Wert des AntiForgeryToken im Formular mehrere Male erneut eingereicht werden könnten und nicht nach einmaligen Gebrauch verfallen.
Nach dem OWASP Empfehlungen um das Synchronizer Token Muster:
"Im Allgemeinen Entwickler braucht nur dieses Token generiert einmal für die aktuelle Sitzung."
Welche ist, wie ich die ASP.NET MVC AntiForgeryToken funktioniert denken.
Falls wir den Kampf zu kämpfen haben, ist es möglich, die AntiForgeryToken zu veranlassen, einen neuen Wert nach jeder Validierung zu regenerieren?
Lösung
Die Fälschungs Token ist nur ein anti-XSRF Token. Insbesondere ist es nicht ein Einweg- nonce. Wenn Sie eine Einweg- nonce für Ihre Anwendung benötigen, können Sie nicht die Fälschungstoken für diesen Zweck verwenden. Es gibt keine integrierte Funktionalität für diese.
Andere Tipps
Vielleicht können Sie die AntiForgeryToken verwenden mit der drei Parameter Konstruktor .
ein Salz wird immer empfohlen, aber auch das Token von Domain und den Pfad zu begrenzen wird Ihr Token sicherer und pro-Seite einzigartig machen.
Wenn Sie nicht haben XSS-Schwachstellen dieses Problem nicht ein großes Durcheinander in Ihrer Website sein wird:) // Habe ich das schreibe? Sicherlich habe ich nicht gut, das Problem lesen.
Prost!
