各検証した後、ASP.NET MVCの変更にAntiForgeryToken値を作成することが可能ですか？

Question

を複数回我々はいくつかの侵入テストは、我々はASP.NET MVCを使用して構築したアプリケーション上で行わなければならなかった、と戻ってきた勧告の一つは、フォーム内AntiForgeryTokenの値を再提出することができることだったと一回の使用後に期限切れになりませんでした。

OWASPの勧告によるとするシンクロナイザートークンパターンの周ります：

"は一般的に、開発者は、現在のセッションだけに一度、このトークンを生成する必要があります。" の

どの私はASP.NET MVC AntiForgeryTokenがうまくいくと思う方法です。

我々は戦いを戦うために持っている場合は、

、それはそれぞれの検証後に新しい価値を再生成するAntiForgeryTokenを引き起こすことが可能ですか？

Answer 1

偽造防止トークンは、単に抗XSRFトークンです。特に、それはののない使い捨ての一回だけです。あなたのアプリケーションのためのシングルユースナンスが必要な場合は、この目的のために偽造防止トークンを使用することはできません。このための組み込み機能はありません。

Answer 2

たぶん、あなたは三つのパラメータのコンストラクタを使用してAntiForgeryTokenを使用することができますするます。

あなたのトークンは、より安全でページごとのユニークようになります常に推奨される塩を使用するだけでなく、ドメインやパスでトークンを制限します。

あなたはXSSは、この問題はあなたのウェブサイトでは大きな混乱になるだろうされていない脆弱性がない場合は：） //私はこれを書いていましたか？確かに私はよく問題を読んでいない。

乾杯！