.Net CSRF 跨站点请求伪造漏洞

问题背景:由于公司需要整改的老系统的漏洞检查,而系统使用的是.Net 4.6.1的框架,无法使用最新的.Net Core官网的文档解决。

解决方法:网上查了很多资料,有用 Referer 过滤器全局过滤请求头,也有用 http请求都带token中验证。最先用了Referer全局过滤伪造的跨域请求域名,发现还是无法通过CSRF检测。最后使用了服务端返回Token给到form前端,后端对Post请求进行校验,发现可以解决问题。

前端代码:

html 复制代码
@using (Html.BeginForm("Index", "Search", FormMethod.Post, new { id = "SearchForm", name = "SearchForm" }))
{
    @Html.AntiForgeryToken()
}

后端代码:

cs 复制代码
public class SearchController   
{     
    [Post]
    [ValidateAntiForgeryToken]
    public ActionResult Index()
    {
        return view();
    }
}
相关推荐
xiaoshuaishuai83 小时前
C# AI实现PR处理、单元测试
开发语言·c#·log4j
LONGZHIQIN3 小时前
C#基础复习笔记
开发语言·笔记·c#
云水一下3 小时前
DVWA从入门到精通(十七):Open HTTP Redirect(开放重定向)
web安全·dvwa·开放重定向
时代的狂5 小时前
如何理解 C#/.NET 的依赖注入与生命周期
c#·.net·依赖注入·控制反转
品尚公益团队5 小时前
C#在asp.net网页开发中的带cookie登录实现
前端·c#·asp.net
吴可可1235 小时前
C#自定义CAD多段线零件实体
c#
CallmeFoureyes6 小时前
使用 C# 提取 Word 文档中的表格数据
开发语言·c#·word
思麟呀6 小时前
在C++基础上理解CSharp-7
java·jvm·c++·c#
杰佛史彦明18 小时前
ElasticSearch中的分词器详解
大数据·elasticsearch·c#
txg6668 小时前
网络安全领域简报(2026年7月3日—10日)
安全·web安全·网络安全