.Net CSRF 跨站点请求伪造漏洞

9月前作者：KamChau 分类：Toy博客阅读(51) 违法举报

这篇具有很好参考价值的文章主要介绍了.Net CSRF 跨站点请求伪造漏洞。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

问题背景：由于公司需要整改的老系统的漏洞检查，而系统使用的是.Net 4.6.1的框架，无法使用最新的.Net Core官网的文档解决。

解决方法：网上查了很多资料，有用 Referer 过滤器全局过滤请求头，也有用 http请求都带token中验证。最先用了Referer全局过滤伪造的跨域请求域名，发现还是无法通过CSRF检测。最后使用了服务端返回Token给到form前端，后端对Post请求进行校验，发现可以解决问题。

前端代码：

@using (Html.BeginForm("Index", "Search", FormMethod.Post, new { id = "SearchForm", name = "SearchForm" }))
{
    @Html.AntiForgeryToken()
}

后端代码：文章来源地址https://www.toymoban.com/news/detail-802971.html

public class SearchController   
{     
    [Post]
    [ValidateAntiForgeryToken]
    public ActionResult Index()
    {
        return view();
    }
}

到了这里，关于.Net CSRF 跨站点请求伪造漏洞的文章就介绍完了。如果您还想了解更多内容，请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章，希望大家以后多多支持TOY模板网！

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：如若内容造成侵权/违法违规/事实不符，请点击违法举报进行投诉反馈，一经查实，立即删除！

分享到：

领支付宝红包赞助服务器费用

Win7下部署Web站点之Asp.Net安装与配置

我们知道，要在Win7运行Web站点，除了上一节，我们介绍的完整安装IIS外，还需安装并配置好Asp.net(或称之为.NetFrameWork),本节将以安装与配置NetFrameWork4.5.1为例进行介绍。步聚： 1、下载.netframework，DownLoad地址：http://msdn.microsoft.com/en-us/netframework,如下图： 2、安装刚刚下载的.n

2024年02月05日
浏览(56)
漏洞篇（CSRF跨站请求伪造）

目录一、CSRF 原理 1、CSRF 漏洞的定义 2、XSS 与 CSRF 的区别 3、CSRF 的简单理解二、基于 DVWA 的 low 级别演示 CSRF 攻击 1、查看源代码 2、构造 URL 链接 3、验证 CSRF 攻击 4、构造恶意链接 5、短连接介绍三、基于 DVWA 的 Medium 级别演示 CSRF 攻击 1、查看源代码 2、直接修改密码和

2024年02月01日
浏览(51)
CSRF（跨站请求伪造）和SSRF（服务端请求伪造）漏洞复现：风险与防护方法

这篇文章旨在用于网络安全学习，请勿进行任何非法行为，否则后果自负。环境准备示例：假设用户在银行网站A上登录并保持会话活动，同时他也在浏览其他网站。攻击者在一个不可信任的网站B上创建了一个恶意链接，当用户点击该链接时，会自动向银行网站A发送一个

2024年02月10日
浏览(58)
跨站请求伪造 CSRF 漏洞原理以及修复方法

漏洞名称：跨站请求伪造（CSRF）漏洞描述：跨站请求伪造攻击，Cross-Site Request Forgery（CSRF），攻击者在用户浏览网页时，利用页面元素（例如img的src），强迫受害者的浏览器向Web应用服务器发送一个改变用户信息的HTTP请求。CSRF攻击可以从站外和站内发起。从站内发起CS

2024年02月20日
浏览(48)
渗透测试漏洞原理之---【CSRF跨站请求伪造】

1、CSRF概述 1.1、基本原理 1.1.1、基本概念跨站请求伪造（Cross Site Request Forgery，CSRF）是一种攻击，它强制浏览器客户端用户在当前对其进行身份验证后的Web 应用程序上执行非本意操作的攻击，攻击的重点在于更改状态的请求，而不是盗取数据，因为攻击者无法查看伪造请求

2024年02月10日
浏览(51)
浏览器安全之CSRF跨站请求伪造

跨站请求伪造（Cross-site request forgery）简称 CSRF ，尽管与跨站脚本漏洞名称相近，但它与跨站脚本漏洞不同。 XSS 利用站点内的信任用户，而 CSRF 则通过伪装来自受信任用户的请求来利用受信任的网站。 CSRF和反射型XSS的主要区别是：反射型XSS 的目的是在客户端执行脚本，

2024年02月02日
浏览(43)
在 ASP.NET Core Web API 中处理 Patch 请求

PUT 和 PATCH 方法用于更新现有资源。它们之间的区别是，PUT 会替换整个资源，而 PATCH 仅指定更改。在 ASP.NET Core Web API 中，由于 C# 是一种静态语言( dynamic 在此不表)，当我们定义了一个类型用于接收 HTTP Patch 请求参数的时候，在 Action 中无法直接从实例中得知客户端提供了哪

2024年02月04日
浏览(55)
网络安全进阶学习第三课——CSRF跨站请求伪造

会话跟踪是Web程序中常用的技术，用来跟踪用户的整个会话。常用的会话跟踪技术是Cookie与Session。 Cookie是一个保存在客户机中的简单的文本文件,当我们使用自己的电脑，通过浏览器进行访问网页的时候，服务器就会生成一个证书然后返回给浏览器并写入我们的本地电脑，这

2024年02月12日
浏览(45)
WEB安全-SQL注入，CSRF跨站伪造，OXX跨站脚本

目录 SQL 注入攻击字符串型数字型参数化型盲注型 python解决SQL注入 CSRF 跨站伪造攻击 Django防止CSRF手段 CSRF攻击只会在表单上吗？ XSS 跨站脚本攻击其他攻击 SQL 注入是一种网络攻击手段，攻击者通过在 Web 应用程序的输入字段中插入恶意 SQL 代码，试图访

2024年02月14日
浏览(42)
彻底理解前端安全面试题（2）—— CSRF 攻击，跨站请求伪造攻击详解，建议收藏（含源码）

前端关于网络安全看似高深莫测，其实来来回回就那么点东西，我总结一下就是 3 + 1 = 4，3个用字母描述的【分别是 XSS、CSRF、CORS】 + 一个中间人攻击。当然 CORS 同源策略是为了防止攻击的安全策略，其他的都是网络攻击。除了这 4 个前端相关的面试题，其他的都是一些不常

2024年02月03日
浏览(37)