|
|
4 回复 | 直到 14 年前
|
1
1
简短回答:否 长话短说:了解请求合法性的唯一方法是解释请求随附的内容。HTTP协议没有魔力。也许,最可靠的方法是检查推荐人并确保它是你的网站。但这张支票不难骗。 |
|
|
2
0
我还没有尝试过这个,但是我一直在思考如何才能实现这个目标。我目前的想法是向操作添加一个自定义属性,该属性检查请求应用程序附加到CAL的令牌。 令牌将由调用应用程序根据应用程序使用API时提供给请求者的种子密钥生成。自定义属性将在运行允许或拒绝调用的操作之前对密钥进行身份验证。 正如我所说,还没有完全形成,但正在沿着这些思路思考……祝你好运,如果你有什么发现的话,一定要发回。 |
|
3
0
对于其他站点:
对于地址栏:
|
|
|
4
0
其他网站不能使用Ajax对您的操作发出请求,因为HTTP不允许这样做,但它仍然可以从地址栏、其他程序或任何东西中被调用。 如果不允许仅从网站的特定部分调用操作,则可以使用HTML帮助器AntiforgeryToken和属性[validateNatiforgeryToken],您可以在此处查看有关此操作的教程: http://haacked.com/archive/2009/04/02/anatomy-of-csrf-attack.aspx . 这几乎是阿巴尔发布的想法。 |
推荐文章
|
|
Farid · 限制django每个客户的访问 2 年前 |
|
|
josegp · 在Nmap中-p-tag是什么意思 2 年前 |
|
|
kramer65 · 如何根据网站用户在S3上添加非公共网站文件? 6 年前 |
|
derf26 · 如何阻止React Web包包含包中的脚本。json 6 年前 |
|
user8663960 · 最好也是最简单的方法是保护登录表单的安全 6 年前 |
