각 확인 후에 ASP.NET MVC에서 AntiForgeryToken 값을 변경할 수 있습니까?

Question

방금 ASP.NET MVC를 사용하여 구축한 응용 프로그램에 대해 몇 가지 침투 테스트를 수행했는데, 돌아온 권장 사항 중 하나는 양식의 AntiForgeryToken 값을 여러 번 다시 제출할 수 있고 만료되지 않는다는 것이었습니다. 한 번 사용한 후.

에 따르면 OWASP 권장 사항 동기화 토큰 패턴 주변:

"일반적으로 개발자는 현재 세션에 대해 이 토큰을 한 번만 생성하면 됩니다."

이것이 ASP.NET MVC AntiForgeryToken이 작동하는 방식이라고 생각합니다.

전투를 벌여야 하는 경우, 각 검증 후에 AntiForgeryToken이 새로운 값을 재생성하도록 할 수 있습니까?

Answer 1

황홀한 토큰은 단지 XSRF 토큰 일뿐입니다. 특히 그렇습니다 ~ 아니다 일회용 Nonce. 애플리케이션을 위해 단일 사용 Nonce가 필요한 경우이 목적으로 황홀한 토큰을 사용할 수 없습니다. 이를위한 내장 기능이 없습니다.

Answer 2

아마도 다음을 사용하여 AntiForgeryToken을 사용할 수 있습니다. 세 개의 매개변수 생성자.

솔트 사용은 항상 권장되지만 도메인 및 경로별로 토큰을 제한하면 토큰이 더욱 안전해지고 페이지별로 고유해집니다.

XSS 취약점이 없다면 이 문제는 웹 사이트를 크게 혼란스럽게 만들지 않을 것입니다 :) // 내가 이걸 썼나?확실히 문제를 잘 읽지 못했습니다.

건배!