Ошибка теста CSRF в приложении ASP.NET MVC

Я завершил работу над приложением ASP.NET MVC, и в конце мы проходим тест безопасности. Я прошел все тесты, кроме двух. Один из них - CSRF. В моем приложении я поместил @Html.AntiForgeryToken() в каждую форму, которая должна быть отправлена ​​на сервер, и соответствующий метод действия украшен атрибутом ValidateAntiForgeryToken. После упражнения я думаю, что я прав, поскольку большая часть Интернета предлагает делать то, что я на самом деле делаю, но команда тестирования говорит, что CSRF не удалось. Теперь они делают замечание, что значение в файле cookie не изменяется при каждом запросе, а изменяется на странице формы.

Я не уверен, почему значение меняется на странице, а не в файле cookie?

AntiForgeryToken / ValidateAntiForgeryToken действительно является правильным способом защиты от CSRF. То, что значение cookie не меняется, не означает, что приложение уязвимо для CSRF. Представили ли тестировщики безопасности подтверждение правильности концепции? У вас есть дополнительная информация?

Sjoerd 29.10.2018 13:43

Они предоставили мне снимок созданного HTML, и он публикуется только тогда, когда пользователь аутентифицирован. Они просят меня этот токен запроса в cookie, который одинаков для всего сеанса, но токен на странице изменяется при каждом запросе. Концептуально, если я прав, оба они должны быть одинаковыми, поэтому я также скептически отношусь к этому вопросу.

cooking 29.10.2018 13:50
Стоит ли изучать PHP в 2023-2024 годах?
Стоит ли изучать PHP в 2023-2024 годах?
Привет всем, сегодня я хочу высказать свои соображения по поводу вопроса, который я уже много раз получал в своем сообществе: "Стоит ли изучать PHP в...
Поведение ключевого слова "this" в стрелочной функции в сравнении с нормальной функцией
Поведение ключевого слова "this" в стрелочной функции в сравнении с нормальной функцией
В JavaScript одним из самых запутанных понятий является поведение ключевого слова "this" в стрелочной и обычной функциях.
Приемы CSS-макетирования - floats и Flexbox
Приемы CSS-макетирования - floats и Flexbox
Здравствуйте, друзья-студенты! Готовы совершенствовать свои навыки веб-дизайна? Сегодня в нашем путешествии мы рассмотрим приемы CSS-верстки - в...
Тестирование функциональных ngrx-эффектов в Angular 16 с помощью Jest
В системе управления состояниями ngrx, совместимой с Angular 16, появились функциональные эффекты. Это здорово и делает код определенно легче для...
Концепция локализации и ее применение в приложениях React ⚡️
Концепция локализации и ее применение в приложениях React ⚡️
Локализация - это процесс адаптации приложения к различным языкам и культурным требованиям. Это позволяет пользователям получить опыт, соответствующий...
Пользовательский скаляр GraphQL
Пользовательский скаляр GraphQL
Листовые узлы системы типов GraphQL называются скалярами. Достигнув скалярного типа, невозможно спуститься дальше по иерархии типов. Скалярный тип...
0
2
77
0

Другие вопросы по теме