gpt4 book ai didi

asp.net-mvc - MVC AntiForgeryToken 重用了之前生成的 token

转载 作者:行者123 更新时间:2023-12-04 14:59:55 25 4
gpt4 key购买 nike

目前我正在研究 ASP .NET MVC 4 应用程序。我们正在使用提供的 [ValidateAntiForgeryToken]和相应的 @Html.AntiForgeryToken()在我们使用 POST 提交的表单中生成隐藏字段。

到目前为止,该机制似乎工作正常,因为如果我没有将 token 作为输入隐藏字段提供给标有 [ValidateAntiForgeryToken] 的目标 Action 。按预期引发错误。

但是我发现很奇怪,如果我使用 Firebug 或 Chrome 检查器捕获了几个生成的 token ,将它们复制到记事本中,然后转到另一个页面,该页面也使用 AntiForgeryToken 并基本上用之前生成的任何 token 替换隐藏字段,错误没有提高。我期望始终拥有 1:1 的关系(页面隐藏字段 - ValidationAtServer),因为如果有人能够获得该值,将能够对需要 AntiForgeryToken 的应用程序中的任何表单伪造任何请求

我的印象是,一旦生成了 token ,就不能重复使用相同的 token ,我认为这是框架本身的安全缺陷。

如果有人可以提供更多的见解将不胜感激。

最佳答案

AntiForgeryToken 是基于 session 的,因此每个用户都拥有相同的 token ,但另一个用户将拥有不同的 token 。这个讨论可能对你有用:AntiForgeryToken changes per request

关于asp.net-mvc - MVC AntiForgeryToken 重用了之前生成的 token ,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/18175239/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com