C# 我应该在每个POST请求中使用ValidateAntiForgeryToken吗?
我有一大堆关于C# 我应该在每个POST请求中使用ValidateAntiForgeryToken吗?,c#,asp.net-mvc,security,C#,Asp.net Mvc,Security,我有一大堆关于HttpPost请求的页面,我从同事那里得到了一份文档,他用Acunetix扫描了我的网站(我想)。结果显示HTML表单没有CSRF保护(9)。建议通过实现令牌来使用同源策略。我的问题: 从性能与安全性的角度来看,如果我在每个POST请求中使用Token,是否值得?我只在敏感的POST请求中使用Token,如登录、注册、交易等 这可能与标题无关,但为什么像Acunetix这样的pentest软件只将我的少数页面列为CSRF可能的风险当我有很多页面带有POST请求时,检测模式是如何工
HttpPost
请求的页面,我从同事那里得到了一份文档,他用Acunetix
扫描了我的网站(我想)。结果显示HTML表单没有CSRF保护(9)
。建议通过实现令牌来使用同源策略
。我的问题:
POST
请求中使用Token
,是否值得?我只在敏感的POST
请求中使用Token
,如登录、注册、交易等Acunetix
这样的pentest软件只将我的少数页面列为CSRF
可能的风险当我有很多页面带有POST
请求时,检测模式是如何工作的任何帮助都将不胜感激。是的,您应该在每个HttpPost中包含
ValidateAntiForgeryToken
属性。。。假设您使用的是最佳实践和HttpPost,这意味着该请求具有某种副作用
有关此问题的详细讨论,请参阅
看起来Acunetix只是在每个包含表单且不存在令牌的页面上报告这一点。看