【发布时间】:2015-12-13 17:02:33
【问题描述】:
我想为每个请求修改 AntiForgeryToken。
我读了这些帖子:
- Is it possible to make the AntiForgeryToken value in ASP.NET MVC change after each verification?
- ASP.NET MVC Anti Forgery Token Insecure
最初的帖子明确排除了它,但后者似乎提到它“非常简单”。但是我不太明白如何实现令牌的一次性使用。
在我当前的实现中,我将令牌作为安全的 http-only cookie 交付。但它在整个会话中保持不变。我不在乎我的实现是否会破坏后退按钮。有什么建议吗?
【问题讨论】:
标签: c# asp.net asp.net-mvc security csrf