Security 当请求不存在时,我应该返回哪个代码';无法通过跨站点伪造攻击验证
我按referer字段过滤HTTP请求,以防止跨站点伪造攻击。我知道这是一个坏主意,我已经使用ASP.NET MVC内置的防伪机制,但我们的客户有特殊的安全实用程序,通过更改HTTP请求的引用字段来检查跨站点伪造攻击 我的问题是,当我收到不允许的域名时,我需要做什么?返回什么http代码以及应该向用户显示哪个页面 它应该是像404这样的自定义页面,还是仅仅重定向到主页 通常的做法是什么?“403禁止”,并提供一个HTML正文,将用户引导到您的主页Security 当请求不存在时,我应该返回哪个代码';无法通过跨站点伪造攻击验证,security,antiforgerytoken,cross-site,Security,Antiforgerytoken,Cross Site,我按referer字段过滤HTTP请求,以防止跨站点伪造攻击。我知道这是一个坏主意,我已经使用ASP.NET MVC内置的防伪机制,但我们的客户有特殊的安全实用程序,通过更改HTTP请求的引用字段来检查跨站点伪造攻击 我的问题是,当我收到不允许的域名时,我需要做什么?返回什么http代码以及应该向用户显示哪个页面 它应该是像404这样的自定义页面,还是仅仅重定向到主页 通常的做法是什么?“403禁止”,并提供一个HTML正文,将用户引导到您的主页 攻击者在POST过程中看不到CSRF攻击的状态代
攻击者在POST过程中看不到CSRF攻击的状态代码(由于同源策略),因此HTTP代码除了用于通知真实用户之外没有任何意义。只要您确信此响应只会提供给潜在的攻击者,请返回一些不给他们任何关于发生了什么的信息的内容。404(甚至500,作为诱饵)不会帮助他们改进攻击。@RichieHindle不,这个响应可能会给那些刚刚在其他资源(使用另一个域)上单击指向我们的应用程序的链接的用户。