網(wǎng)站建設(shè)的安全-CSRF（跨站點(diǎn)請(qǐng)求偽造）發(fā)布者：本站     時(shí)間：2020-04-07 08:04:12

CSRF（跨站點(diǎn)請(qǐng)求偽造）
引起原因：個(gè)人認(rèn)為csrf在Ajax盛行的今天來說，倒是方便了，因?yàn)樗梢栽谀悴恢赖那闆r用你的通過驗(yàn)證用戶進(jìn)行操作，所以也被稱為瀏覽器劫持。如果你已通過某個(gè)網(wǎng)站的驗(yàn)證那么你將以你的角色對(duì)網(wǎng)站進(jìn)行操作，比如你是管理員可以添加其它的用戶到管理組，但是如果有人構(gòu)造了添加管理員的鏈接被管理員點(diǎn)后也會(huì)執(zhí)行相應(yīng)操作.具體原因可參考lake2寫的文章http://blog.csdn.net/lake2/archive/2008/04/02/2245754.aspx
解決方法：
在lake2的文章中也提出了。就是修改信息時(shí)添加驗(yàn)證碼?；蛱砑覵ession令牌（ASP.NET中已經(jīng)提供一個(gè)自動(dòng)防范的方法，就是用頁面屬性ViewStateUserKey.在Page_Init方法中設(shè)置其值。this.ViewStateUserKey=Session.SessionID）。