关于 CSRF 防御小提问

问题描述

项目使用的是iis+webform+webapi2我想知道我目前使用的方法是否正确以及足够安全。做法:用户登入后进入主页面(单页面应用),我通过webformpageload返回一个hidden和一个cookie(httponly),for随机值前台都是发ajax到webapi,由于webapi不方便访问session所以我是没有用session的。每一个ajaxheader都附带hidden随机值到webapi时,比对header和cookie的随机值做确认.http://www.asp.net/web-api/overview/security/preventing-cross-site-request-forgery-(csrf)-attacks这是官方给的一个例子,我英语不太好,对CSRF也没有太深的理解。希望大家能指导一下。万分感激!

解决方案

解决方案二:
有专门的检测网站可以帮你测试,它会使用一些典型的用例检查你的网站有没有漏洞。
解决方案三:
专门的检测网站《--给一个来呗!感谢您了!

时间: 2024-09-14 03:34:23

关于 CSRF 防御小提问的相关文章

简单设置防御小流量DDOS攻击

防范DDOS攻击并不一定非要用防火墙.一部份DDOS我们可以通过DOS命令netstat -an|more或者网络综合分析软件:sniff等查到相关攻击手法.如攻击某个主要端口.或者对方主要来自哪个端口.对方IP等.这样我们可以利用w2k自带的远程访问与路由或者IP策略等本身自带的工具解决掉这些攻击.做为无法利用这些查到相关数据的我们也可以尝试一下通过对服务器进行安全设置来防范DDOS攻击.如果通过对服务器设置不能有效解决,那么就可以考虑购买抗DDOS防火墙了. 其实从操作系统角度来说,本身就藏

C#模拟重力小提问!

问题描述 请教大神们更高级模拟重力方法..由于控件的Location无法弄成Double类型..使得button1控件下落有卡顿现象,不够流畅.. 解决方案 解决方案二:初学C#,有什么不懂的,希望大神不吝赐教解决方案三:在timer_tick事件最后加个button1.Refresh();试试解决方案四:引用2楼u012804018的回复: 在timer_tick事件最后加个button1.Refresh();试试 试过了,没有作业,重绘控件没有啥作用解决方案五:引用3楼s578417141的

web api 资源属性的授权小提问

问题描述 publicclassStaffController:ApiController{[Authorize(Roles="manager,staff")]publicIQueryable<Staff>get(){returndb.staffs;}} 如果想控制这个资源的访问授权,可以这样写.但是这表示控制了整个资源的访问.如果我只想限制这个staff内的某些属性,那我该怎样写?publicclassStaff:Administrator{[Key]publicinti

Spring MVC防御CSRF、XSS和SQL注入攻击

解决CSRF的办法:客户端向服务器提交请求时,服务器一定要校验口令.客户端指定页面要有服务器端提供的口令 本文说一下SpringMVC如何防御CSRF(Cross-site request forgery跨站请求伪造)和XSS(Cross site script跨站脚本攻击). 说说CSRF 对CSRF来说,其实Spring3.1.ASP.NET MVC3.Rails.Django等都已经支持自动在涉及POST的地方添加Token(包括FORM表单和AJAX POST等),似乎是一个tag的事情

深入分析CSRF攻击方式与防御教程

  CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF.   CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求.CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全.   CSRF漏洞现状 CSRF这

Web安全之CSRF攻击

CSRF是什么? CSRF(Cross Site Request Forgery),中文是跨站点请求伪造.CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的. 举个例子 简单版: 假如博客园有个加关注的GET接口,blogUserGuid参数很明显是关注人Id,如下: http://www.cnblogs.com/mvc/Follow/FollowBlogger.aspx?blogUse

预防CSRF攻击

什么是CSRF CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF. 那么CSRF到底能够干嘛呢?你可以这样简单的理解:攻击者可以盗用你的登陆信息,以你的身份模拟发送各种请求.攻击者只要借助少许的社会工程学的诡计,例如通过QQ等聊天软件发送的链接(有些还伪装成短域名,用户无法分辨),攻击者就能迫使Web应用的用户去执行攻击者预设的操作.例如,当用户登录网络银

CSRF 专题

一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造.      也被称为:one click attack/session riding(一键攻击或会话劫持),缩写为:CSRF/XSRF. 二.CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求.CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全.

CSRF(跨站请求伪造攻击)详解以及防护之道

CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作,有很大的危害性.然而,该攻击方式并不为大家所熟知,很多网站都有 CSRF 的安全漏洞.本文首先介绍 CSRF 的基本原理与其危害性,然后就目前常用的几种防御方法进行分析,比较其优劣.最后,本文将以实例展示如何在网站中防御 CSRF 的攻击,并分享一些开发过程中的最佳实践. C