私はいくつかの問題を引き起こしているので、antiForegryTokenの重要性を疑問に思っていました。@ Html.AntiForgeryToken()について
私は、ユーザーがロール "PremiumAnvändare"(スウェーデン語のPremiumUser)にいるかどうかを調べ、そうでなければ "rolenotfound"にリダイレクトするクラスがあります。
public ActionResult Create()
{
if (User.IsInRole("PremiumAnvändare"))
{
ViewBag.SammanhangsID = new SelectList(db.Sammanhangs, "SammanhangsID", "Namn");
return View();
}
Response.Redirect("rolenotfound");
return View();
}
しかし、ユーザーがrolenotfoundにリダイレクトされたとき、私は、エラー
タイプの例外「System.Web.HttpExceptionは」 のSystem.Web.dllに発生したが、ユーザーには処理されませんでした取得コード
HTTPヘッダーが送信された後、サーバーはヘッダーを追加できません。
この
を削除することによって解決される@ Html.AntiForgeryToken()は、私が何か間違ったことをやっているか、それがトークンを削除しても大丈夫でしょうか?私はそれを少し再考しました。私はそれがクロスサイト攻撃を防御することであると理解していますが、私たちがモバイルアプリを作っているので、これは問題になるとは思われません。しかし、私を修正して教えてください。そうすれば、私はこのことを正しく行うことができます。
CSRF保護を適用するかどうかによって異なります –
これらの攻撃は共通していますか? –
あなたのサイトとユーザーのターゲットとなる可能性と魅力にかかっています。 「owaspのクロスサイトリクエスト偽造」(https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF))をご覧ください。 –