AntiForgeryToken Änderungen pro Anfrage

8

Ich verwende die AntiForgeryToken Hilfsmethode. Von dem, was ich über die AntiForgeryToken verstehe, ist, dass es Sitzungsbasis ist, so dass jeder Benutzer das gleiche Token hat, aber ein anderer Benutzer ein anderes Token haben wird (vorausgesetzt, dass Sie die gleichen Salze für alle Formulare verwenden). Mein "Problem" ist, dass AntiForgeryToken verschiedene Tokens für denselben Benutzer mit demselben Salz erzeugt. Zum Beispiel ...

Kontoller

%Vor%

Anzeigen

%Vor%

Ausgabeanforderung # 1

%Vor%

Ausgabeanforderung # 2

%Vor%

Die Schlüssel sind für dieselbe Sitzung mit demselben Salz unterschiedlich. Habe ich ein grundlegendes Missverständnis bezüglich des CRSF-Schutzes? Oder ist das ein neues Feature?

    
Stefan Bossbaly 03.07.2012, 15:04
quelle

1 Antwort

5

Das Anti-XSRF-Token verschlüsselt den gleichen zufälligen Wert in einem Sitzungscookie und in Ihrem Formular. Die Sitzungscookies werden nur übermittelt, wenn Sie einen Beitrag aus dem von Ihnen generierten Formular erstellen.

Dieser Ansatz funktioniert auch z.B. auf Serverfarmen (in einem Lastausgleichs-Szenario), in dem alle Server den Verschlüsselungsschlüssel gemeinsam nutzen. Die Validierung funktioniert nur, indem der entschlüsselte Wert aus den Daten des gebuchten Formulars und der entschlüsselte Wert aus dem Cookie der geposteten Sitzung verglichen werden. Dies wird als doppelt eingereichte Cookies -Methode bezeichnet.

>

Es ist also ziemlich normal, dass jede Anfrage einen anderen Wert bekommt. Dies ist ein schöner Beitrag über ASP.NET MVC XSRF-Token.

    
m0sa 03.07.2012, 15:14
quelle

Tags und Links