ASP MVC防伪令牌问题

Question

这是一个理论问题。

如果有人知道我的帖子操作（URL、参数...）的所有信息，是否可以加载我的 URL 之一，解析出防伪造令牌值，并通过 ajax 调用前面提到的帖子并获得成功？

或者，这些令牌是否受到某种保护？我真的不知道，因为我才刚刚开始 MVC，我想确保我的安全。

Answer 1

这些令牌是为了缓解 CSRF 攻击，因此如果攻击者能够获取令牌一个特定的URL，将其放入网页中，并让你在指定的时间间隔内专门访问该网页，那么理论上他们就可以对你进行成功的CSRF攻击。其中涉及很多小概率，这将是一种相对低效的攻击，因为在简单的情况下它只有一个目标。

如果我没记错的话（目前无法检查），该令牌包含特定于一个用户的加密数据、有效提交窗口的日期时间以及可选的静态盐字符串。该令牌值被放入表单中的隐藏输入以及 cookie 中。提交表单后，每个值都会被解密，并比较各个数据的值。如果它们相同，则该请求被视为来自已知来源。

当然，在我看来，框架实现是一个非常好的实现，并且对于大多数应用程序来说都很好。