나는 AJAX 호출을 위해 http-handler와 jQuery를 사용하는 웹 애플리케이션을 가지고있다.
이제는 사용자가 jQuery에 의해 생성되고 조작이 수행되는 동일한 URL을 브라우저에 입력 할 수 있습니다.
쿼리 문자열과 함께 일부 토큰을 보낸 다음 서버 측에서 작업을 수행하기 전에 올바른 토큰을 찾을 수 있습니까?
희망 사항을 올바르게 작성했습니다.jQuery의 유효성을 검사하는 방법 AJAX 호출 ASP.net
위의 기술은
크로스 사이트 요청 위조
공격자가 악의적 인 트랜잭션을 수행하기위한 사용자 세션에 로그인 도용 할 수
위험 영향이라고합니다.
권장
그것은 모든 트랜잭션 페이지에 대한 페이지 토큰 (요청에 추가 매개 변수로 임의의 토큰)를 구현하는 것이 좋습니다. 이 토큰은 무작위로 생성되어야하며 각 사용자마다 고유해야합니다.
제안 URL
는http://www.owasp.org/index.php/CSRF_Guard
http://www.cgisecurity.com/csrf-faq.html
var cg = new CSRFGuard();
cg.SetupCSRFTokenNameAndValue();
SessionManager.CustomerConfig.CsrfTokenName = cg.CsrfTokenName;
SessionManager.CustomerConfig.CsrfTokenValue = cg.CsrfTokenValue;
덕분에 많이 있습니다.
MVC 프레임 워크에서 처리하는 방법과 비슷한 방식으로 처리해야 할 수도 있습니다. Here은 잠재적 인 해결책을 설명하는 비슷한 게시물입니다.
귀하의 웹 사이트에 대한 인증을 사용하십니까? 그렇다면 사용자가 인증되지 않는 한 HTTP 처리기가 호출됩니다. – Anand
ajax 호출에서 호출하는 함수는 로그인 세션을 확인합니다. 이제는 사용자가 직접 URL을 사용하더라도 사용자가 로그인했는지 여부를 확인합니다. – Narendra
폼 인증을 사용하고 처리기가 IRequiresSessionState를 구현하고 있습니다. –