Question

Наше приложение использует AngularJS и использует веб-API в серверной части.Это только внутреннее приложение, и аутентификация используется только в режиме Windows.Мы используем пользовательскую авторизацию (role-base), чтобы ограничить доступ / выполнение методов веб-API приложения.

Мой вопрос: нужно ли добавить атрибут ValidateAntiForgeryToken для этих действий веб-API с атрибутами HttpPost и HttpPut?Я никогда не использовал этот ValidateAntiForgeryToken прежде, так как я был вовлечен только во внутреннее веб-приложение (только локальная интрасеть).Пожалуйста, направьте меня , когда / , как использовать ValidateAntiForgeryToken.

White hawk · Answer 1 · 17 апреля 2019

ValidateAntiForgeryToken защищает ваших пользователей от вредоносных веб-приложений, которые отправляют запрос POST в ваше веб-приложение без ведома вашего пользователя, известного как CSRF .Тем не менее запрос будет выполнен успешно, поскольку он поступает от вашего пользователя, у которого на самом деле есть разрешение на это.Это не зависит от фактического механизма аутентификации, и на самом деле это более высокий риск для автоматического однократного включения, чем у вас с аутентификацией Windows.

Если ваше внутреннее веб-приложение стоит усилий, целевая атака может обманутьваши пользователи посещают веб-сайт злоумышленника, который, в свою очередь, отправляет запрос POST в ваше веб-приложение.

Я считаю, что вы должны использовать ValidateAntiForgeryToken даже в этой ситуации в качестве меры глубокой защиты.

ValidateAntiForgeryToken в Windows аутентификации

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

ValidateAntiForgeryToken в Windows аутентификации

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы