解决asp.net跨站点请求伪造的简单手段以及遇到的问题

最新推荐文章于 2024-07-28 21:35:23 发布
最新推荐文章于 2024-07-28 21:35:23 发布
阅读量1.2k 收藏
点赞数
分类专栏: Asp.net 文章标签: asp.net 跨站点请求伪造 会话标识未更新
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/search1985/article/details/36886949
版权

借鉴:http://blog.csdn.net/hnwanghb/article/details/7920674

在aspx页面的 override protected void OnInit(EventArgs e)事件里,添加一句代码:

Page.ViewStateUserKey = Session.SessionID; 

  override protected void OnInit(EventArgs e)
  {
            base.OnInit(e);

            Page.ViewStateUserKey = Session.SessionID; 
  }

但有些人可能会碰到下面这个错误

验证视图状态 MAC 失败。如果此应用程序由网络场或群集承载,请确保 <machineKey> 配置指定了相同的 validationKey 和验证算法。不能在群集中使用 AutoGenerate。

先尝试如下解决(借鉴http://www.cnblogs.com/sephil/archive/2007/10/19/asp_net_post.html)
修改当前页面的@page属性,添加enableEventValidation="false" enableViewStateMac="false"
或者在web.config里添加<pages enableEventValidation="false" enableViewStateMac="false" />

如果不行,则估计是在解决会话标识未更新的问题时造成的,因每次页面要生成新的SessionID,而当页面需要有回发逻辑时,造成与服务器ViewStateUserKey解析不一致(大概是这样,呵呵)
附带会话标识未更新的解决方法:
if (!IsPostBack&&Session["user"]==null)///Session["user"]根据个人逻辑要或不要
  {

                Session.Abandon();
                Request.Cookies.Clear();
                Response.Cookies.Add(new HttpCookie("ASP.NET_SessionId", ""));
     }
search1985
关注
专栏目录
8.8:.NET的理解和处理站点请求伪造站点脚本编制(课程共5450字,4段代码举例)
小兔子平安
08-13 54
通过学习本课程,读者将掌握.NET中处理CSRF和XSS攻击的核心概念和技术,并能够应用这些知识来提升Web应用程序的安全性。然而,安全是一个持续的过程,我们应该保持警惕并不断学习和改进我们的安全实践,以保护用户的数据和隐私。
浅谈ASP.NET MVC 防止请求伪造(CSRF)攻击的实现方法
10-18
下面小编就为大家分享一篇浅谈ASP.NET MVC 防止请求伪造(CSRF)攻击的实现方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
站点请求伪造解决方案
10年职场两茫茫,35岁凄凉奈若何
11-13 286
站点请求伪造解决方案
CSRF(请求伪造)漏洞介绍
最新发布
weixin_56233402的博客
07-28 881
Cross-site request forgery 简称为“CSRF”,在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。很多人搞不清楚CSRF的概念,甚至有时候会将其和XSS混淆,更有甚者会将其和越权问题混为一谈,这都是对原理没搞清楚导致的。
ASP.NET如何防止站点请求伪造
mole的专栏
01-04 3168
环境:ASP.NET、MVC5、EntityFramework 对于任何BS程序来说,安全始终是最为重要的一个话题,而站点请求伪造是最容易发起的,只需要下个工具(如fiddler)即可轻易实现。我们可以通过对Controller类采取下列措施防止该类黑客行为的发生: 1、在提交数据处理的页面上,加上@Html.AntiForgeryToken()语句。 2、在接收并处理提交的数据的方法上加上[
ASP.NET-伪造请求CSRF
weixin_30593261的博客
03-24 104
经常看到在项目中ajax post数据到服务器不加防伪标记,造成CSRF攻击,在Asp.net Mvc里加入防伪标记很简单在表单中加入Html.AntiForgeryToken()即可Html.AntiForgeryToken()会生成一对加密的字符串,分别存放在Cookies 和 input 中。 我们在ajax post中也带上AntiForgeryToken 通过属性来防止...
ASP.NET Web API 中启用请求,防止站点请求伪造 (CSRF) 攻击
NARUTONEPIECE的博客
08-19 486
ASP.NET Web API 中启用请求, 防止 ASP.NET 应用程序中的站点请求伪造 (CSRF) 攻击
ASP.NET中的站点请求伪造(CSRF)防范
## 1.1 什么是站点请求伪造(CSRF)攻击? CSRF(Cross-Site Request Forgery)站点请求伪造攻击是一种利用用户已经登录的身份发送恶意请求的攻击方式。攻击者通过诱使用户点击恶意链接或访问恶意网站,在用户...
防止MVC应用程序受到站点请求伪造攻击
04-05
请求伪造(Cross-Site Request Forgery,简称CSRF)是一种常见的网络安全威胁,它针对的是用户已经登录并保持会话状态的Web应用程序。在ASP.NET MVC框架中,开发人员需要采取措施来防止这种攻击,确保用户的操作...
CSRF请求伪造实例程序
11-07
一个php做的简单的银行管理系统,利用cookie值来达到伪造请求的目的,最终造成银行账户余额被修改。
ASP.NET源码——[CMS程序]悠闲日站点管理系统 V2.0.zip
10-09
6. **安全性**:包括身份验证、授权、防止站脚本攻击(XSS)和请求伪造(CSRF)等。 7. **部署和配置**:了解如何将该系统部署到IIS服务器,以及相关的配置文件设置(如web.config)。 通过学习和研究这个...
sessionID防伪造防修改-防止试错
zp40507210的博客
06-01 696
主要防止非法用户修改cookie信息,以及cookie的超时时间  传统cookie存储,Cookie(name, value),value很容易就被篡改。  防修改cookie存储,Cookie(name, value+“&&”+ signToken+“&&”+saveTime+“&&”+maxTime)  signToken :签名密钥 由md5(value+saveTime+maxTi
CSRF站点请求伪造
qq_26054303的博客
04-27 723
CSRF(Cross-site request forgery),中文名称:请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF,CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求 例如: 你登陆了一个网站http://blog.sohu.com 然后你又访问了恶意的网站www.abc.com,他构造了一个恶意的请求
关于web项目sessionID欺骗的问题
a563501734的博客
11-05 8005
我在做用户登陆时大费周章,又是rsa又是md5的,忽然想起DNS欺骗的问题,如果用户被dns劫持,不管我用什么样的方法,用户如果在被劫持的页面上输入密码都毫无安全可言,并且https我们是不可能用的,瞎将就吧,我只能寄希望于用户装了某管家或某卫士。 但是后面的问题更严重,大家都知道http依赖cookie保持会话状态,我们大费周章地用各种加密方式来保护用户密码,最后却转化成为十几二十个明文字符来...
ASP.NET Core 反请求伪造
码农的专栏
11-02 395
ASP.NET Core 2.0 或更高版本,FormTagHelperantiforgery 令牌注入 HTML 窗体元素。Razor 文件中的以下标记自动生成防伪令牌: <form method="post"> ... </form> 在每个前面的情况下,ASP.NET Core 添加类似于以下一个隐藏的表单字段: <input nam...
如何防止session伪造攻击
enchanterblue的专栏
05-02 1700
如何防止Session伪造攻击  Session伪造攻击是一种非常流行的针对session的攻击方式.它之所以流行的主要原因是:它是一个攻击者获得一个有效的SESSION ID(标识符)最简单的方法.使用这种方法,可以模仿当前用户的SESSION ID,伪装成这个用户,然后进一步进行SESSION劫持攻击.任何促使受害用户使用攻击者提供的SESSION ID的方法都可以称之为SESSION伪造攻击...
Session伪造记录
qq_49422880的博客
09-05 4689
session与cookie的区别 cookie数据保存在客户端,session数据保存在服务端。 session 简单的说,当你登陆一个网站的时候,如果web服务器端使用的是session,那么所有的数据都保存在服务器上,客户端每次请求服务器的时候会发送当前会话sessionid,服务器根据当前sessionid判断相应的用户数据标志,以确定用户是否登陆或具有某种权限。由于数据是存储在服务器上面,所以你不能伪造。 cookie sessionid是服务器和客户端连接时候随机分配的,如果浏览器使用的是coo
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值