【发布时间】:2020-04-28 04:45:44
【问题描述】:
我有 MVC 应用程序,在应用程序的渗透测试期间,渗透测试团队强调 __RequestVerificationToken 值可以重复使用(即,他们可以使用为先前请求生成的 __RequestVerificationToken 值发出 POST 请求页面或同一用户的上一个登录会话期间)
是否有任何配置可以控制生成的__RequestVerificationToken 值的有效性?
cshtml
@using (Html.BeginForm("Register", "User", FormMethod.Post, role = "form", novalidate = "false"
{
@Html.AntiForgeryToken()
///// some more code
}
控制器
[HttpPost]
[ValidateAntiForgeryToken]
public ActionResult Register(parameter)
{
//// some code
}
【问题讨论】:
-
没有自定义实现。它是 MVC 的开箱即用功能。
-
将代码添加到问题中。
标签: asp.net .net asp.net-mvc csrf