이것은 이론적 인 질문입니다.ASP MVC 위조 토큰 질문
내 게시물 작업 (URL, 매개 변수 ...)에 대해 잘 알고 있다면 내 URL 중 하나를로드하고 위변조 토큰 값을 파싱 한 다음 아약스를 통해 앞서 언급 한 게시물을 호출하여 얻을 수 있습니까? 성공?
또는이 토큰이 어떻게 보호됩니까? 정말 MVC를 시작한 이유가 무엇인지 모릅니다. 나는 내 안전을 확신하고 싶습니다.
토큰은 CSRF attacks을 완화해야하므로 공격자가 특정 URL에 대한 토큰을 가져 와서 웹 페이지에 넣고 지정된 시간 간격 내에 해당 웹 페이지를 방문하게하면 이론적으로 당신에 대한 CSRF의 성공적인 공격을 수행합니다. 작은 확률이 많이 포함되어 있습니다. 단순한 경우에는 목표가 하나뿐이기 때문에 상대적으로 비효율적 인 공격입니다.
정확하게 (현재는 확인할 방법이없는 경우) 토큰에는 한 사용자에 대한 암호화 된 데이터, 유효한 제출 창에 대한 날짜 시간 및 선택적으로 고정 소금 문자열이 포함됩니다. 이 토큰 값은 양식의 숨겨진 입력과 쿠키에 입력됩니다. 양식을 제출하면 값이 해독되고 개별 데이터 값이 비교됩니다. 동일하다면 요청은 알려진 출처에서 온 것으로 간주됩니다.
프레임 워크 구현은 물론 내 생각에 완벽하게 좋은 구현이며, 대부분의 응용 프로그램에서 괜찮을 것입니다.