Anticsrf Un módulo de falsificación de Solicitud de Solicitud de sitio (CSRF) para ASP.NET
Descargar ahora

Anticsrf Clasificación y resumen

Anticsrf Etiquetas

proteger ASP.NET Módulo ASP.NET información entre sitios Módulo CSRF Falsificación de solicitud de sitio cruzado Atributo de clase CSRF Compilar Sitio ASP.NET petición en sitios cruzados de petición en sitios consulta entre sitios solicitud de dominios cruzados Scripting cruzado

Anticsrf Descripción

AnticsRF fue diseñado para ser un módulo de falsificación de Solicitud de Solicitud cruzada (CSRF) para ASP.NET. AnticsRF hace que sea más fácil para los desarrolladores de ASP.NET para protegerse contra la falsificación de la solicitud de Solicitud de sitio. Ya no tendrá que agregar manualmente y verificar los tokens de protección para protegerse contra los ataques de CSRF. La forma normal recomendada de agregar un token de CSRF a una aplicación ASP.NET es usar ViewState en combinación con un LOWSSTATEUSERKEY. Esto requiere que ViewState se esté habilitado y una aplicación tenga alguna forma de identificar a un usuario de manera única, generalmente a través de una sesión, que a su vez requiere que se haya habilitado el estado de la sesión. AnticsRF no tiene estos requisitos; En su lugar, si requiere que las cookies se habiliten en el navegador del usuario y usen una cookie temporal, se borran cuando el navegador está cerrado, para identificar un usuario y un campo de forma oculta para llevar el token de CSRF. El enfoque ViewStateUserkey protege contra ataques de un solo clic. El ataque de un solo clic a veces se le denumbra incorrectamente el nombre de Microsoft para la falsificación de la solicitud de la pantalla. Sin embargo, esto no es del todo correcto. Los ataques de un solo clic se refieren a un subconjunto de ataques de CSRF, uno que usa un estado visual malicioso para realizar la solicitud. Debido a que las formas web se desarrollaron con ASP.NET, use ViewState para posterior a la espalda, un atacante puede realizar la posterior a la devolución, quiere que el usuario realice sin saberlo, y grabe el estado de visualización. Debido a la forma en que ASP.NET ignora los verbos HTTP cuando se usa Solicitud.Params versus Solicitud. Forma, y ​​en los controles web, a menudo se puede hacer esta solicitud a través de GET.

Anticsrf Software relacionado