解决asp.net跨站点请求伪造的简单手段以及遇到的问题

最新推荐文章于 2024-07-28 21:35:23 发布
最新推荐文章于 2024-07-28 21:35:23 发布
阅读量1.2k 收藏
点赞数
分类专栏: Asp.net 文章标签: asp.net 跨站点请求伪造 会话标识未更新
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/search1985/article/details/36886949
版权

借鉴:http://blog.csdn.net/hnwanghb/article/details/7920674

在aspx页面的 override protected void OnInit(EventArgs e)事件里,添加一句代码:

Page.ViewStateUserKey = Session.SessionID; 

  override protected void OnInit(EventArgs e)
  {
            base.OnInit(e);

            Page.ViewStateUserKey = Session.SessionID; 
  }

但有些人可能会碰到下面这个错误

验证视图状态 MAC 失败。如果此应用程序由网络场或群集承载,请确保 <machineKey> 配置指定了相同的 validationKey 和验证算法。不能在群集中使用 AutoGenerate。

先尝试如下解决(借鉴http://www.cnblogs.com/sephil/archive/2007/10/19/asp_net_post.html)
修改当前页面的@page属性,添加enableEventValidation="false" enableViewStateMac="false"
或者在web.config里添加<pages enableEventValidation="false" enableViewStateMac="false" />

如果不行,则估计是在解决会话标识未更新的问题时造成的,因每次页面要生成新的SessionID,而当页面需要有回发逻辑时,造成与服务器ViewStateUserKey解析不一致(大概是这样,呵呵)
附带会话标识未更新的解决方法:
if (!IsPostBack&&Session["user"]==null)///Session["user"]根据个人逻辑要或不要
  {

                Session.Abandon();
                Request.Cookies.Clear();
                Response.Cookies.Add(new HttpCookie("ASP.NET_SessionId", ""));
     }
search1985
关注
专栏目录
防止MVC应用程序受到站点请求伪造攻击
04-05
请求伪造(Cross-Site Request Forgery,简称CSRF)是一种常见的网络安全威胁,它针对的是用户已经登录并保持会话状态的Web应用程序。在ASP.NET MVC框架中,开发人员需要采取措施来防止这种攻击,确保用户的操作...
如何防止session伪造攻击
enchanterblue的专栏
05-02 1700
如何防止Session伪造攻击  Session伪造攻击是一种非常流行的针对session的攻击方式.它之所以流行的主要原因是:它是一个攻击者获得一个有效的SESSION ID(标识符)最简单的方法.使用这种方法,可以模仿当前用户的SESSION ID,伪装成这个用户,然后进一步进行SESSION劫持攻击.任何促使受害用户使用攻击者提供的SESSION ID的方法都可以称之为SESSION伪造攻击...
session怎么辨别是不是伪造的cookie
weixin_65666222的博客
06-16 390
隐藏Session ID:在Cookie中存储的Session ID应该是一个随机的字符串或数字,外部用户无法猜测出Session ID具体的生成方式,避免攻击者伪造Session ID。设置过期时间:Session ID应该设置一个过期时间,在过期之后,下一次请求会生成一个新的Session ID,从而保证用户信息的安全性。使用加密算法:对Session ID进行加密处理,并设置一个加密密钥,使攻击者无法伪造Session ID,从而保护用户信息的安全。
CSRF(请求伪造)漏洞介绍
最新发布
weixin_56233402的博客
07-28 877
Cross-site request forgery 简称为“CSRF”,在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。很多人搞不清楚CSRF的概念,甚至有时候会将其和XSS混淆,更有甚者会将其和越权问题混为一谈,这都是对原理没搞清楚导致的。
ASP.NET Core 反请求伪造
码农的专栏
11-02 395
ASP.NET Core 2.0 或更高版本,FormTagHelperantiforgery 令牌注入 HTML 窗体元素。Razor 文件中的以下标记自动生成防伪令牌: <form method="post"> ... </form> 在每个前面的情况下,ASP.NET Core 添加类似于以下一个隐藏的表单字段: <input nam...
Session伪造记录
qq_49422880的博客
09-05 4689
session与cookie的区别 cookie数据保存在客户端,session数据保存在服务端。 session 简单的说,当你登陆一个网站的时候,如果web服务器端使用的是session,那么所有的数据都保存在服务器上,客户端每次请求服务器的时候会发送当前会话sessionid,服务器根据当前sessionid判断相应的用户数据标志,以确定用户是否登陆或具有某种权限。由于数据是存储在服务器上面,所以你不能伪造。 cookie sessionid是服务器和客户端连接时候随机分配的,如果浏览器使用的是coo
[ASP.NET] Session 详解
★VS.Net编程★
07-07 3224
原文地址:http://www.frontfree.net/view/article_742_page1.html 阅读本文章之前的准备  阅读本文章前,需要读者对以下知识有所了解。否则,阅读过程中会在相应的内容上遇到不同程度的问题。   懂得ASP/ASP.NET编程   了解ASP/ASP.NET的Session模型   了解ASP.NET Web应用程序模型   了解ASP.NET Web应
ASP.NET源码——[CMS程序]悠闲日站点管理系统 V2.0.zip
10-09
6. **安全性**:包括身份验证、授权、防止站脚本攻击(XSS)和请求伪造(CSRF)等。 7. **部署和配置**:了解如何将该系统部署到IIS服务器,以及相关的配置文件设置(如web.config)。 通过学习和研究这个...
ASP.NET安全
02-26
请求伪造所谓认证,简单的来说就是验证一个用户的身份。这取决于我们开发的站点的类型,是否允许匿名访问,是否是属于管理员或者其它角色的用户等等。也就是说我们的整个程序或者某些功能是针对某些特定的用户...
ASP.NET_SessionId
weixin_30788619的博客
07-17 5131
这几天在研究给session加密的一个模块类,此类继承自IhttpModule接口。实现的功能是确保在同一次Session会话中每次请求都来自同一客户端。因为对Request,Response和名称为ASP.NET_SessionId的Cookie理解不够透彻,在研究代码时花了很多时间都没能弄明白。下面是一些笔记。 1.ASP.NET_SessionId的值在一次Session会话的第一次请求结...
浅谈ASP.NET MVC 防止请求伪造(CSRF)攻击的实现方法
10-18
下面小编就为大家分享一篇浅谈ASP.NET MVC 防止请求伪造(CSRF)攻击的实现方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
关于web项目sessionID欺骗的问题
a563501734的博客
11-05 8005
我在做用户登陆时大费周章,又是rsa又是md5的,忽然想起DNS欺骗的问题,如果用户被dns劫持,不管我用什么样的方法,用户如果在被劫持的页面上输入密码都毫无安全可言,并且https我们是不可能用的,瞎将就吧,我只能寄希望于用户装了某管家或某卫士。 但是后面的问题更严重,大家都知道http依赖cookie保持会话状态,我们大费周章地用各种加密方式来保护用户密码,最后却转化成为十几二十个明文字符来...
ASP.NET中 SessionID的本质
syaguang2006的专栏
09-18 8805
ASP.NET中 SessionID的本质
ASP.NET修改ASP.NET_SessionId头部隐藏开发语言
weixin_33699914的博客
09-10 492
在默认的情况ASP.NET框架,会出现如下[root@hkdb1~]#curl-Ihttp://127.0.0.1 HTTP/1.1200OK Server:VWS/1.0 Date:Sun,10Sep201700:58:56GMT Content-Length:0 Connection:keep-alive Cache-Control:pri...
ASP.NET的Cookie和Session !
shidaitianzi的专栏
12-07 1727
 通过上一部分的学习,我们已知道:Cookie是ASP中的一个对象集合,它以加密的形式被保存在客户端特定文件夹内,用户可以修改、删除甚至伪造Cookie;而Session是一个服务器对象,它被保存在服务器,所以相对地,使用Session较为安全,但较耗费服务器资源。你可以随意设置Cookie的生存期,例如1年。但如果你让一个Session变量始终生存在服务器主机内,对你的服务器来说并不是一个好
ASP.NET4入门教程:从构建页面到安全
6. 安全:涵盖身份验证(Authentication)、授权(Authorization)机制,以及如何防止站脚本攻击(XSS)和请求伪造(CSRF)等安全问题。 7. 创建ASP.NET应用程序:包括Web Forms、MVC和Web API等不同开发模式...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值