एंटीफोर्गेरी टोकन का उपयोग सीएसआरएफ हमलों को रोकने के लिए किया जाता है, हालांकि एमएसडीएन पर दिए गए लिंक मुझे एंटीफॉर्गेरी टोकन क्या करता है, या यह कैसे काम करता है, या चीजें कैसे तरीके से की जाती हैं, इस बारे में मुझे बहुत अंतर्दृष्टि नहीं देती है।एएसपी.नेट एमवीसी 3 के एंटीफोर्गेरी टोकन के कार्यान्वयन विवरण और तर्क क्या हैं?
जो मैं इकट्ठा करता हूं, वह एक वेब पेज और एक कुकी के अंदर हैश बनाता है। उनमें से एक या दोनों हैश IPrincipal.Name
का उपयोग करते हैं, और सममित एन्क्रिप्शन का उपयोग करते हैं।
किसी के रूप में प्रकाश डाला जा सकता है:
- कैसे AntiForgeryToken आंतरिक रूप से काम करता है
- क्या यह
- की रक्षा के लिए क्या यह नहीं की रक्षा के लिए
- तर्क क्या है इस्तेमाल किया जाना चाहिए इस्तेमाल किया जाना चाहिए ऊपर # 1 के लिए कार्यान्वयन विकल्पों के पीछे?
- उदाहरण:
- कार्यान्वयन "DoubleSubmit" कुकी और अन्य आम भेद्यता से सुरक्षित
- वहाँ कार्यान्वयन मुद्दों रहे हैं, तो उपयोगकर्ता एकाधिक टैब को खोलता है
- क्या MSFT के कार्यान्वयन एक SANS पर उपलब्ध से अलग बनाता है
- उदाहरण:
क्या आप सीएसआरएफ के बारे में सोच रहे हैं? विशेष रूप से एमएस इसके साथ कैसे निपटता है? या बस आप सामान्य रूप से इसके साथ कैसे निपटेंगे? – CtrlDot
@CtrlDot - मैं एमएसएफटी के कार्यान्वयन के पीछे सभी विवरणों के बारे में जानना चाहता हूं। मैं सीएसआरएफ पर जानकारी के बारे में जानकारी प्राप्त करने के लिए http://security.stackexchange.com पर जा सकता हूं और कुकीज़ जमा कर दूंगा – LamonteCristo