0
크로스 사이트 위조 공격을 방지하기 위해 리퍼러 필드로 HTTP 요청을 필터링합니다. 나쁜 생각이고 이미 ASP.NET MVC 빌트인 위조 방지 메커니즘을 사용하고 있지만 고객은 HTTP 요청의 변경 참조 자 필드를 통해 교차 사이트 위조 공격을 검사하는 특별한 보안 유틸리티를 가지고 있습니다.요청이 교차 사이트 위조 공격 확인을 통과하지 못할 때 어떤 코드를 반환해야합니까?
제 질문은 허용되지 않는 도메인을 수신 할 때해야 할 일입니다. 반환 할 http 코드와 사용자에게 표시해야하는 페이지는 무엇입니까?
404와 같은 사용자 정의 페이지가 없거나 기본 페이지로 리디렉션해야합니까?
일반적인 관행은 무엇입니까?
이 응답이 잠재적 인 공격자에게만 제공 될 것이라고 확신하는 한, 발생한 일에 대한 정보를 제공하지 않는 것을 반환하십시오. 404 (또는 심지어 미끼로 500)는 공격을 향상시키는 데 도움이되지 않습니다. – RichieHindle
@ RichieHindle 아니요.이 응답은 다른 리소스 (다른 도메인)에서 Google 애플리케이션에 대한 링크를 클릭 한 사용자에게만 제공 될 수 있습니다. – Neir0