ASP.NET MVC – ValidateAntiForgeryToken dla całego kontrolera

W poprzednim poście – ASP.NET MVC – zabezpieczenie przed Cross-Site Request Forgery – opisałem podstawowy mechanizm zabezpieczania się przed Cross-Site Request Forgery. Ma on jednak pewne ograniczenia. Zwykle ‚AntiForgeryToken‚ przesyłany jest tylko razem z żądaniem typu POST – raczej nie stosuje się żądań typu GET do zatwierdzania formularzy. Typowy kontroler posiada najczęściej wiele akcji POST,… Czytaj dalej


ASP.NET MVC – zabezpieczenie przed Cross-Site Request Forgery

Atak Cross-Site Request Forgery (w skrócie CSRF lub XSRF) polega na wykorzystaniu nieświadomego niczego użytkownika, który w danym momencie zalogowany jest do serwisu będącego celem ataku, do wysłania żądania spreparowanego przez hakera. Takie żądanie może na przykład zmieniać dane użytkownika użytego do ataku, na takie, które później będą mogły być wykorzystane przez atakującego do zalogowania… Czytaj dalej