предотвратить подделку межсайтовых запросов (CSRF)

Question

Как мы можем предотвратить атаки подделки межсайтовых запросов (CSRF) в ASP.Net webForm.Я хочу защитить некоторые страницы на веб-сайте, а также как мы можем предотвратить, если мы получили URL-адрес в электронном письме от злоумышленника для выполнения CSRF.

Answer 1

Вы можете принять некоторые дополнительные меры предосторожности.

1. Сначала подключите вашего пользователя аутентификация и действия, с IP и информацией браузера .Поэтому при каждом действии также проверяйте, что действия выполняются от пользователя, который имеет все эти критерии.
2. шифрует некоторые критические данные / переменные (которые CSRF должны изменить) - и не позволяетпеременные передаются только из SSL, но в виде простого текста -
3. всегда используют зашифрованные файлы cookie SSL.requireSSL=true.
4. Не разрешать переадресацию между приложениями enableCrossAppRedirects=false
5. Использовать одну таблицу базы данных для подключения каждого файла cookie аутентификации с действиями пользователя , такими как выход из системы, поэтомувы знаете, что файл cookie (может быть?) вышел из системы, или неактивен, или что-то еще, даже если он действителен.
6. Блокировка в расширенных заблокированных ips, которые они обнаружили, что атакует.http://www.phoenixlabs.org/pg2/