XSRF 保护 GET .net mvc

Question

我有一个会显示敏感信息的网站。我正在使用防伪造令牌等来防止 POSTS 中的 XSRF。但是我担心有人能够通过 GET 查看敏感信息。在 .Net MVC 2 中保护通过 GET 发送的只读数据的建议做法是什么？

Answer 1

如果您确定 GET 请求是只读的，那么您就无需担心 XSRF。仅使用 XSRF 不可能从其他网站窃取信息，因此您不需要通过令牌保护 URL。事实上，在 URL 中使用标记将导致无法使用书签。

话虽如此，您应该 100% 确定您的应用程序中不存在 XSS 漏洞。如果存在，攻击者就无需担心 XSRF 和不可预测的令牌。

Answer 2

POST 数据上的 XSRF 保护（使用您所说的令牌）也应该适用于 GET 数据。从黑客的角度来看，GET 伪造比 POST 伪造要容易得多（首先您只需发布一个链接，第二次您需要指向一个带有隐藏 iframe 和自动提交表单的恶意软件网站），但是如果检查令牌。

例子：
发布如下链接：

www.domain.tld/page.aspx?get=data&token=token_given_to_hacker

不应返回任何内容，或者对于那些获得其他令牌的人来说只是一个错误。这样就不会为错误的人采取敏感行动。

这就是xsrf，有了它你无法窃取信息，但可以让其他人提交表单并采取行动，结果只有黑客知道。例如：
将电子邮件表单上的电子邮件更改为黑客的电子邮件。假设您有一个 GET 表单，其中包含 1 个字段：新电子邮件（为了简单起见）。提交后，URL 如下所示：

www.domain.tld/[电子邮件受保护]

现在，如果黑客在您的论坛上发布了一个链接，其 URL 为：

www.domain.tld/[电子邮件受保护]

每个点击它的人都会收到一封来自黑客的新电子邮件。但是，如果您在那里放置一个令牌，并且每次都会检查它，则仅对那些在页面请求中给出相同令牌的人采取该操作，在这种情况下，该链接将仅对发布它的用户有效，没有其他人。

您还可以使用密码字段保护敏感表单，例如更改电子邮件、密码等。请注意，验证码在这里没有太大帮助。