【发布时间】:2018-07-05 08:51:30
【问题描述】:
我已将下面的代码放入我的表单中。然后,该请求将在其 cookie 中显示一个令牌,并且在生成我的 html 时还会创建一个隐藏字段。请注意,cookie 和隐藏字段的值不同。
<%= System.Web.Helpers.AntiForgery.GetHtml() %>
每次我回发时,我都有如下所示的验证器。
if (IsPostBack)
{
AntiForgery.Validate();
}
奇怪的是,即使我强行更改隐藏字段中的 cookie(使用 burp 之类的 MITM 软件)。验证器甚至不会检测到令牌已被更改。
我已经列出了生成的令牌(刷新页面几次)并尝试使用列出的令牌之一来处理最新的请求。不出所料,验证器没有发现错误。
我读到令牌是基于会话的,所以我尝试在另一个会话(另一个用户)上使用令牌。验证器仍然没有捕获任何东西。
更改 cookie 中的令牌会捕获错误,但该 cookie 令牌是恒定的,并且对于所有表单都是相同的。
这个问题有什么错误或任何其他缺失的部分吗?
【问题讨论】:
-
你使用的是什么版本的 MVC?
-
我正在使用 asp.net 网络表单
-
什么版本的 ASP.NET Web 窗体?什么版本的VS? stackoverflow.com/help/how-to-ask
-
对不起。 Asp 版本是 4.0,vs 是 2015。
标签: c# asp.net security csrf x-xsrf-token