ASP.NET MVC如何避免GET方法上的CSRF攻击
ASP.NET anitforgery令牌仅适用于POST方法。但是对于用于获取一些敏感信息的GET方法,我们如何避免CSRF?已经有一个关于这个主题的线程,提供了一些有趣的信息。它说的是ASP.NETMVC3,但它仍然适用于当前版本。相同的orgine策略会有帮助吗?在安全方面,问题通常是,您为可能的攻击者设置了多高的门槛。应用相同来源的政策,这是一个很好的步骤,以确保您的应用程序在一般情况下,但从我的理解,这不是一个防弹的解决方案。进一步阅读并感谢thomashaid。对同样的原始政策有一点怀疑。如果我们实现相同的origine策略,那么所有AJAX POST和GET请求都将被限制在同一个域中,对吗?或者只限制GET请求?已经有一个关于这个主题的线程提供了一些有趣的信息。它说的是ASP.NETMVC3,但它仍然适用于当前版本。相同的orgine策略会有帮助吗?在安全方面,问题通常是,您为可能的攻击者设置了多高的门槛。应用相同来源的政策,这是一个很好的步骤,以确保您的应用程序在一般情况下,但从我的理解,这不是一个防弹的解决方案。进一步阅读并感谢thomashaid。对同样的原始政策有一点怀疑。如果我们实现相同的origine策略,那么所有AJAX POST和GET请求都将被限制在同一个域中,对吗?还是只限制GET请求?ASP.NET MVC如何避免GET方法上的CSRF攻击,asp.net,asp.net-mvc,http,csrf,antiforgerytoken,Asp.net,Asp.net Mvc,Http,Csrf,Antiforgerytoken,ASP.NET anitforgery令牌仅适用于POST方法。但是对于用于获取一些敏感信息的GET方法,我们如何避免CSRF?已经有一个关于这个主题的线程,提供了一些有趣的信息。它说的是ASP.NETMVC3,但它仍然适用于当前版本。相同的orgine策略会有帮助吗?在安全方面,问题通常是,您为可能的攻击者设置了多高的门槛。应用相同来源的政策,这是一个很好的步骤,以确保您的应用程序在一般情况下,但从我的理解,这不是一个防弹的解决方案。进一步阅读并感谢thomashaid。对同样的原始政策有一点