Warning: file_get_contents(/data/phpspider/zhask/data//catemap/0/asp.net-mvc/15.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
C# 我应该在每个POST请求中使用ValidateAntiForgeryToken吗?_C#_Asp.net Mvc_Security - Fatal编程技术网
Fatal编程技术网
  • csharp/
  • C# 我应该在每个POST请求中使用ValidateAntiForgeryToken吗?

C# 我应该在每个POST请求中使用ValidateAntiForgeryToken吗?

c# asp.net-mvc security

C# 我应该在每个POST请求中使用ValidateAntiForgeryToken吗?,c#,asp.net-mvc,security,C#,Asp.net Mvc,Security,我有一大堆关于HttpPost请求的页面,我从同事那里得到了一份文档,他用Acunetix扫描了我的网站(我想)。结果显示HTML表单没有CSRF保护(9)。建议通过实现令牌来使用同源策略。我的问题: 从性能与安全性的角度来看,如果我在每个POST请求中使用Token,是否值得?我只在敏感的POST请求中使用Token,如登录、注册、交易等 这可能与标题无关,但为什么像Acunetix这样的pentest软件只将我的少数页面列为CSRF可能的风险当我有很多页面带有POST请求时,检测模式是如何工

我有一大堆关于
HttpPost
请求的页面,我从同事那里得到了一份文档,他用
Acunetix
扫描了我的网站(我想)。结果显示
HTML表单没有CSRF保护(9)
。建议通过实现令牌来使用
同源策略
。我的问题:

  • 从性能与安全性的角度来看,如果我在每个
    POST
    请求中使用
    Token
    ,是否值得?我只在敏感的
    POST
    请求中使用
    Token
    ,如登录、注册、交易等
  • 这可能与标题无关,但为什么像
    Acunetix
    这样的pentest软件只将我的少数页面列为
    CSRF
    可能的风险当我有很多页面带有
    POST
    请求时,检测模式是如何工作的
    • 任何帮助都将不胜感激。

    是的,您应该在每个HttpPost中包含
    ValidateAntiForgeryToken
    属性。。。假设您使用的是最佳实践和HttpPost,这意味着该请求具有某种副作用

    有关此问题的详细讨论,请参阅

    看起来Acunetix只是在每个包含表单且不存在令牌的页面上报告这一点。看