Checkmarx жалуется на проблему XSRF в нашем веб-приложении.Мы используем веб-формы ASP.NET с платформой 4.0 (не MVC)
Checkmarx сказал: Метод btnSubmit_Click в строке 1760 файла \ ABC.aspx.vb получает параметр из URL-адреса запроса пользователя из текста элемента,Это значение параметра проходит через код и в конечном итоге используется для изменения содержимого базы данных.Приложение не требует обновленной аутентификации пользователя для запроса.Это может разрешить подделку межсайтовых запросов (XSRF).
Есть идеи, как предотвратить XSRF из приложения ASP.NET Webform?
Мы испробовали много решений, но ни одно из нихиз них пройти Checkmarx: Вот некоторые вещи, которые мы попробовали: https://software -security.sans.org / developer-how-to / developer-guide-csrf или
http://willseitz -code.blogspot.com / 2013/06 / кросс-сайт-запрос-подделка для веб-форм.html? M = 1 или
https://security.stackexchange.com/questions/187740/two-solutions-for-csrf-on-owasp-for-asp-net-webforms
Я думаю, что приведенные выше решения должны работать и защищать / предотвращать нашу веб-форму от рисков CSRF / XSRF, но почему Checkmarx не может ее обнаружить?Это ложное срабатывание?