asp.net mvc中的防止csrf跨站式伪造请求中特性ValidateAntiForgeryToken很鸡肋?求可靠分析和解答

悬赏园豆：5 [已解决问题] 解决于 2019-03-08 21:09

我的两个看法如下：
1.我的Controller A上加了【Authorize】 ,A中的a1 post 方法上加【ValidateAntiForgeryToken】，A说明需要授权过的用户才能访问a1方法，那a1加上ValidateAntiForgeryToken，是不是有点画蛇添足。
2.表单里生成一个隐藏域，在cookie放个令牌，加上表头验证，这些能防住什么，说白了只能防住那些一窍不通的人，在墙洞上糊了张纸。就加一个加密过的cookie 每次请求都带上，这怎么防得住......
@dudu

张林-布莱恩特 | 初学一级 | 园豆：108
提问于：2019-03-08 16:45

< >

最佳答案

推荐阅读园子里的一篇博文：浅谈CSRF攻击方式

收获园豆：5

dudu | 高人七级 |园豆：30778 | 2019-03-08 21:00

谢谢，很全面！

张林-布莱恩特 | 园豆：108 (初学一级) | 2019-03-08 21:09

清除回答草稿

您需要登录以后才能回答，未注册用户请先注册。

欢迎，请先 登录 或者 注册 。

asp.net mvc中的防止csrf跨站式伪造请求中特性ValidateAntiForgeryToken很鸡肋?求可靠分析和解答

欢迎，请先登录或者注册。