¿Es posible hacer que el valor AntiForgeryToken en el cambio ASP.NET MVC después de cada verificación?
https://stackoverflow.com/questions/2220664
-
19-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Hemos acabábamos de algunas pruebas de intrusión llevado a cabo en una aplicación que hemos construido con ASP.NET MVC, y una de las recomendaciones que volvieron fue que el valor de la AntiForgeryToken en el Formulario podría volver a ser presentada varias veces y no expirará después de un solo uso.
De acuerdo con la recomendaciones OWASP alrededor del patrón sincronizador de emergencia:
"En general, los desarrolladores sólo tienen que generar esta señal una vez para la sesión actual."
¿Qué es lo que pienso funciona el ASP.NET MVC AntiForgeryToken.
En caso de que tengamos que luchar la batalla, ¿es posible hacer que el AntiForgeryToken para regenerar un nuevo valor después de cada validación?
Solución
El token anti-falsificación es sólo un token de anti-XSRF. En particular, es no a nonce de un solo uso. Si necesita un nonce de un solo uso para su aplicación, no se puede utilizar el símbolo de anti-falsificación para este propósito. No existe una funcionalidad integrada para esto.
Otros consejos
Tal vez se puede utilizar el AntiForgeryToken usando el constructor de tres parámetros .
El uso de una sal se recomienda siempre, sino también limitar el token de dominio y la ruta hará que el token más seguro y por página única.
Si usted no tiene vulnerabilidades de XSS este problema no va a ser un gran lío en su sitio web:) // ¿Escribí esto? Sin duda, no he leído bien el problema.
Saludos!
