위조 방지 토큰이 유효한지 ASP.NET에서 어떻게 확인합니까? 이러한 토큰을 저장하는 ASP.NET은 어디에 있습니까? 어떻게 저장됩니까?ASP.NET이 위조 방지 토큰을 확인하는 방법
15
A
답변
22
짧은 버전은 생성 된 토큰이 (a) 쿠키 (b) 숨겨진 양식 값입니다. 양식을 제출하면이 2 개의 값을 서로 비교하여 유효한지 확인합니다. 더 읽기 :
http://www.asp.net/web-api/overview/security/preventing-cross-site-request-forgery-(csrf)-attacks http://www.codeproject.com/Articles/793384/ASP-NET-Anti-Forgery-Tokens-internals
5
(https://docs.microsoft.com/en-us/aspnet/web-api/overview/security/preventing-cross-site-request-forgery-csrf-attacks에서) 허용 대답 이럴보다 더 분명하다 단계적 설명
- 클라이언트는 양식이 포함 된 HTML 페이지를 요청합니다.
- 서버에는 응답에 두 개의 토큰이 있습니다. 하나의 토큰이 쿠키로 보내집니다. 다른 하나는 숨겨진 양식 필드에 배치됩니다. 토큰은 임의로 생성되어 적들이 값을 추측 할 수 없도록합니다.
- 클라이언트가 양식을 제출하면 두 토큰을 다시 서버로 보내야합니다. 클라이언트는 쿠키 토큰을 쿠키로 보내고 양식 데이터 내에 양식 토큰을 보냅니다. 브라우저 클라이언트는 사용자가 양식을 제출할 때 자동으로이를 수행합니다.
- 요청에 두 토큰이 모두 포함되어 있지 않으면 서버가 요청을 허용하지 않습니다.
0
위의 설명은 AjaxRequest의 경우 위조 방지 프로그램, 특히 get 요청에서 숨겨진 값이있는 양식을 보내지 않고 대신 헤더 값을 설정해야합니다 자바 스크립트를 통해 쿠키의 내용과 동일한 내용으로 설정해야합니다. 설정해야하는 헤더 이름은 기본적으로 X-XRF-Token 헤더 [angularjs와 관련이 있습니다] ... 물론 CORS를 사용 중지하거나 특정 도메인에서만 사용하도록 설정해야합니다 API를 보호하려면 클릭 재발을 피하기 위해 SAMEORIGIN도 설정해야합니다.
관련 문제
- 1. MVC가 위조 방지 토큰을 확인하지 못했습니다.
- 2. 위조 방지 토큰 오류
- 3. Google API를 사용하지 않고 위조 방지 토큰을 만들 수있는 방법
- 4. MVS 2의 csrf 및 위조 위조 토큰을 확인하지 않으려 고합니다.
- 5. "위조 방지 토큰을 암호 해독 할 수 없습니다."
- 6. 컨트롤러에서 위조 방지 쿠키와 토큰을 생성하는 방법은 무엇입니까?
- 7. 위조 방지 HttpRequests
- 8. 위조 방지 오류가
- 9. 로그백을 통한 로그 위조 방지
- 10. Rails가 위조 방지 설정을 요청합니다
- 11. ASP.NET MVC 위조 방지 이해
- 12. 교차 사이트 요청 위조 방지
- 13. iPhone에서 위조 위치 방지 : 위치 위장
- 14. 위조 방지 토큰 염의 사용은 무엇입니까?
- 15. DotNetOpenAuth에서 무기명 토큰을 확인하는 방법
- 16. ASP.MVC 위조 방지 토큰 및 암호화 오류
- 17. 필요한 위조 방지 양식 필드 __RequestVerificationToken이 없습니다.
- 18. 위조 방지 - 작동 방식을 더 잘 이해하십시오.
- 19. ASP.MVC 필요한 위조 방지 양식 필드 오류
- 20. 위조 방지 토큰 문제 (MVC 5)
- 21. 방지 Fogery 토큰을 해독 할 수 없습니다
- 22. ASP 방지 요청 위조, 왜 해커가 먼저 해내 지 않습니까?
- 23. 위조 방지 토큰에 "비활성화 됨"속성이 나타나는 이유는 무엇입니까?
- 24. nonce 토큰을 생성하여 CSRF 방지?
- 25. OpenID Connect - Java에서 ID 토큰을 확인하는 방법?
- 26. 안티 위조 시스템 MVC
- 27. jpcap을 사용하여 ARPRequest를 위조
- 28. 액세스 토큰을 확인하는 방법은 무엇입니까?
- 29. Azure 서비스 버스의 위조 및 메시지 서명 방지.
- 30. Windows 클라이언트 응용 프로그램에서 교차 사이트 요청 위조 공격 방지
실제로 두 개의 토큰이 생성됩니다. 두 곳에서 저장되는 것만이 아닙니다. –