2011-07-25 14 views
3

はasp.netのMVC2でAnti Forgery Tokenのような組み込みの機能以外に良い方法はあります。 CSRFを避けるために自分のhttpモジュールをコーディングしたいと思います。回避クロスサイトスクリプティング

また私の理解にAntiforgerytokenは、任意のクッキーを生成しません。 "double-submitted cookie"は良い方法ですか?

任意のベストプラクティスや提案。

--edit: このリンクは便利です:Stackoverflow previous question

+0

私は、クッキーを盗むことやその他の形式を回避できる他のより良い方法が必要です。私はまた、より良い代替キャプチャを使用しない..私はIISレベルからこの問題を処理したい... – Saravanan

+0

IISレベルでそれを処理する必要がある理由を説明するかもしれない。 AntiForgeryTokenの使用がベストプラクティスと考えられるので、私はそれを言います。そして、はい、それはクッキーを生成します...それはすべての仕組みです。このブログの投稿には、それがどのように機能するかについての良い説明があります。 http://blog.stevensanderson.com/2008/09/01/prevent-cross-site-request-forgery-csrf-using-aspnet-mvcs-antiforgerytoken-helper/ – Charlino

+0

@Charlino:基本的に私の解決策は、ライブラリになり、それはCSRFを回避するために必要なことです。私はUIを持たず、私の図書館のユーザーが私の図書館からCSRFを忘れることを望みます。私はあまりにも偽造品検査を受けていますが、うまく機能していますが、サーバサイドのソリューションが必要です。 – Saravanan

答えて

1

このライブラリは、あなたが書いているものに似ています。 http://anticsrf.codeplex.com/ トークンにクッキーを使用します。私はそれを使用して、私のプロジェクトがセキュリティレビューをパスするのを助けました。

関連する問題