如何解决安全审计 Asp.Net 中的 URLReferer 漏洞
我正在检查 Request.UrlReferrer = null
之外的每个 page_load
方法的 Postback
。但是如果它不为空并且仍然有人使用 BurpSuite 更改引用标头值。然后它应该重定向到默认的错误页面。
我应该如何验证这一点?
解决方法
你不能信任用户输入,请求头(包括referer)是用户输入,客户端可以任意选择。授权决定不应基于此,因为正如您所说,客户可以发送他们想要的任何推荐人。
从您的问题来看,这听起来更像是您需要某种会话来存储客户端状态。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。