Вы можете написать статическую HTML-страницу, которую можете разместить где угодно.Даже не нужен веб-сервер, вы можете использовать file:///c:/foo.htm
, например.На этой HTML-странице создайте простой <form>
, который будет содержать те же элементы ввода (с такими же именами), что и некоторые представления ASP.NET MVC, которые вы хотите протестировать на соответствие CSRF.action
формы будет указывать на то же действие, что и ваши представления ASP.NET MVC.Затем отправьте форму.Если выдается исключение AntiForgeryToken, вы в безопасности.Если, с другой стороны, выполняется действие контроллера, вы уязвимы для атаки CSRF.
Чтобы узнать больше о CSRF, посмотрите следующую статью .Джефф Этвуд также написал в блоге об этом.
И не ожидайте, что какой-нибудь чудо-инструмент, который вы запустите, покажет зеленый или красный свет.Если бы такой инструмент существовал, хакеров не существовало бы, так как все сайты были бы защищены, и им было бы нечего взламывать.
Лучший способ убедиться, что ваш сайт безопасен, - проконсультироваться со специалистом по безопасности.кто проведет обширный аудит и проверку кода.