Warning: file_get_contents(/data/phpspider/zhask/data//catemap/1/asp.net/36.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
C# 通过生成nonce令牌防止CSRF?_C#_Asp.net_Token_Csrf_Nonce - Fatal编程技术网
Fatal编程技术网
  • csharp/
  • C# 通过生成nonce令牌防止CSRF?

C# 通过生成nonce令牌防止CSRF?

c# asp.net

C# 通过生成nonce令牌防止CSRF?,c#,asp.net,token,csrf,nonce,C#,Asp.net,Token,Csrf,Nonce,我读到了关于通过创建一个nonce令牌来防止CSRF的内容,该令牌将作为ajax函数中的变量发送,同时还有一个会话持有与令牌中相同的值。这是一个好主意吗?因为我真的不喜欢在大型网站上使用会话,因为大型网站总是有很多活跃用户,这会影响总体性能 不,只要每个用户都有唯一的、不可用的值,就不需要nonce。例如,它可以是SHA1(用户id+“无人知道的秘密字符串”) 我在另一个问题中回答了nonces和CSRF之间的区别: 您正在使用ASP.NET MVC吗?如果是这样,您可以使用此处提到的AntiF

我读到了关于通过创建一个nonce令牌来防止CSRF的内容,该令牌将作为ajax函数中的变量发送,同时还有一个会话持有与令牌中相同的值。这是一个好主意吗?因为我真的不喜欢在大型网站上使用会话,因为大型网站总是有很多活跃用户,这会影响总体性能

不,只要每个用户都有唯一的、不可用的值,就不需要nonce。例如,它可以是
SHA1(用户id+“无人知道的秘密字符串”)

我在另一个问题中回答了nonces和CSRF之间的区别:

您正在使用ASP.NET MVC吗?如果是这样,您可以使用此处提到的AntiForgeryToken