如题,ASP.NET MVC AntiForgeryToken根本防不了CSRF攻击。
在表单里生成一个隐藏域,在cookie放个令牌,加上表头验证,这些能防住什么,说白了只能防住那些一窍不通的人。
在墙洞上糊了张纸。
说白了你没有登出,我弄张页面里面放个隐藏的iframe指向你的页面,加载完成就提交表单,你能怎么办,你能分辨出来?
如题,ASP.NET MVC AntiForgeryToken根本防不了CSRF攻击。
在表单里生成一个隐藏域,在cookie放个令牌,加上表头验证,这些能防住什么,说白了只能防住那些一窍不通的人。
在墙洞上糊了张纸。
说白了你没有登出,我弄张页面里面放个隐藏的iframe指向你的页面,加载完成就提交表单,你能怎么办,你能分辨出来?