如何解决ASP.NET MVC - 验证 __RequestVerificationToken cookie 到期
我们使用 ASP.NET MVC CSRF 令牌,它基本上如下:
这是一个未经身份验证的注册页面,带有验证用户名的 AJAX 调用。 __RequestVerificationToken 设置在 session 范围内,这意味着它会在用户关闭浏览器后消失。
但是,通过这种设置,黑客可以通过多次传递相同的 requestVerificationToken 令牌和 cookie 来枚举用户名。
问题:
- 是否可以使会话范围内的 __RequestVerificationToken 令牌无效,因为它是未经身份验证的模式?
注意: 如果他们多次尝试,我们可以在 FE 上显示 Captcha。但如果他们只是使用 Ajax API,它就会绕过验证码。
想知道修复此问题的最佳方法是什么。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
