C# 通过生成nonce令牌防止CSRF?
我读到了关于通过创建一个nonce令牌来防止CSRF的内容,该令牌将作为ajax函数中的变量发送,同时还有一个会话持有与令牌中相同的值。这是一个好主意吗?因为我真的不喜欢在大型网站上使用会话,因为大型网站总是有很多活跃用户,这会影响总体性能 不,只要每个用户都有唯一的、不可用的值,就不需要nonce。例如,它可以是C# 通过生成nonce令牌防止CSRF?,c#,asp.net,token,csrf,nonce,C#,Asp.net,Token,Csrf,Nonce,我读到了关于通过创建一个nonce令牌来防止CSRF的内容,该令牌将作为ajax函数中的变量发送,同时还有一个会话持有与令牌中相同的值。这是一个好主意吗?因为我真的不喜欢在大型网站上使用会话,因为大型网站总是有很多活跃用户,这会影响总体性能 不,只要每个用户都有唯一的、不可用的值,就不需要nonce。例如,它可以是SHA1(用户id+“无人知道的秘密字符串”) 我在另一个问题中回答了nonces和CSRF之间的区别: 您正在使用ASP.NET MVC吗?如果是这样,您可以使用此处提到的AntiF
SHA1(用户id+“无人知道的秘密字符串”)
我在另一个问题中回答了nonces和CSRF之间的区别:
您正在使用ASP.NET MVC吗?如果是这样,您可以使用此处提到的AntiForgeryToken