Quali sono i dettagli di implementazione e le motivazioni di AntiForgeryToken di ASP.NET MVC3?

Naviga le tue risposte
4

AntiForgeryToken viene utilizzato per prevenire gli attacchi CSRF, tuttavia i collegamenti su MSDN non mi forniscono informazioni dettagliate su cosa fa esattamente AntiForgeryToken o su come funziona, o perché le cose sono fatte come sono.

Da ciò che raccolgo, crea un hash all'interno di una pagina Web e di un cookie. Uno o entrambi utilizzano l'hash IPrincipal.Name e utilizzano la crittografia simmetrica.

Qualcuno può far luce su:

  1. Come funziona AntiForgeryToken internamente
  2. Che cosa dovrebbe essere usato per proteggere
  3. Cosa NON dovrebbe essere usato per proteggere
  4. Qual è il ragionamento dietro le scelte di implementazione per il numero 1 sopra?
posta random65537 06.02.2011 - 18:03
fonte

1 risposta

1

Tutto il CSRF è impedito dall'uso di nonce crittografico che non può essere ottenuto dall'attaccante a causa di Some -Origin Policy . Questo non è un problema che Symmetric Cryptography può risolvere.

Dai un'occhiata al foglio Cheat di prevenzione CSRF .

    
risposta data 29.03.2011 - 18:19
fonte

Leggi altre domande sui tag

Metodi di test di sicurezza per livello aziendale Quali domande dovrebbero essere poste quando si valuta il rischio di un'eccezione della politica?