Mentre sviluppando TeamMentor ho implementato un certo numero di WebServices (consumati tramite jQuery) e ora sul suo push finale per il rilascio Voglio ricontrollare che non sono vulnerabili a CSRF.
Non ci sono molte buone informazioni là fuori e sembra che in .NET, * .asmx siano protetti di default in CSRF, con una possibile eccezione di uno scenario di exploit che utilizza Flash (per impostare i cookie)
[informazioni aggiornate]
Se vuoi dare un'occhiata al codice, il tutto è su GitHub, e qui c'è il codice sorgente della versione con una libreria di test (OWASP Top 10): link (basta scaricare il file zip e fare clic su" Avvia webserver.bat "per avere una copia in esecuzione locale)
Se vuoi solo dare un'occhiata a questo, prova questo server di prova: link per la GUI principale e link per i servizi web In termini di CSRF per ASMX, la mia attuale comprensione deriva principalmente da questo articolo di Scott Guthrie link (anche riferito qui AJAX Hacker Attacks - Cross Site Request Forgery)
Questi articoli implicano che i webservice asmx non sono vulnerabili a CSRF a causa dell'intestazione dell'applicazione / json ContentType extra.