繁体 English 中英

Intranet站点容易受到CSRF攻击吗？

[英]Are intranet sites vulnerable to CSRF?

原文 2015-06-10 14:44:30 9 1 asp.net/ asp.net-mvc/ razor/ asp.net-mvc-5

我已经开发并部署了一个MVC5 .NET应用程序，该应用程序在Intranet中运行，并使用LDAP来验证用户身份。 由于MVC 5在默认情况下为您提供了@ Html.Antiforgery（），因此我在每一项中都使用了它们。 但是在应用程序在多个节点中运行的生产环境中，会话期满等时，令牌存在问题。

所以我想知道我是否应该一开始就使用它们，或者由于该站点在Intranet上运行，是否可以删除它们。

1 个解决方案

对，他们是。 例如，恶意用户可以发送您的一名员工和一封电子邮件，其中包含带有指向您的Intranet页面之一的URL的清晰GIF，或者某个员工可以访问包含javascript的网页，该Javascript发布到您的Intranet页面之一。

清除GIF攻击的缓解措施是设计您的Intranet站点，以便GET请求永远不会更新状态或执行敏感操作。

缓解脚本/后攻击的方法是，在所有表单中都包含CSRF令牌。

API应用程序如何容易受到CSRF的攻击？

[英]How can an API application be vulnerable to CSRF?

如何强制Intranet网站浏览器进入IE8 Quirks模式？

[英]How to force intranet sites browser into IE8 Quirks Mode?

wkhtmltopdf在使用C＃MVC3的Intranet网站上不起作用

[英]wkhtmltopdf not working on intranet sites using C# MVC3

reg表达式以包括不以.com / .net / etc结尾的Intranet网站

[英]Reg expression to include intranet sites that dont end in .com / .net / etc

不应该在IE10中“兼容X-UA兼容IE =边缘”标题覆盖“在兼容性视图中显示内部网站点”？

[英]Shouldn't “X-UA-Compatible IE=edge” header override “Display intranet sites in Compatibility View” in IE10?

此代码容易受到SQL注入的攻击吗？

[英]is this code vulnerable to SQL Injections?

它容易受到ASP Padding oracle的攻击

[英]Is it vulnerable to ASP Padding oracle

Preparedquery容易受到Sql注入的攻击

[英]Preparedquery vulnerable to Sql injection

WebClient凭据SharePoint Intranet

[英]WebClient Credentials SharePoint Intranet

获取Intranet身份验证用户

[英]Get intranet authenticated user

暂无

暂无

声明:本站的技术帖子网页，遵循CC BY-SA 4.0协议，如果您需要转载，请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 API应用程序如何容易受到CSRF的攻击？如何强制Intranet网站浏览器进入IE8 Quirks模式？ wkhtmltopdf在使用C＃MVC3的Intranet网站上不起作用 reg表达式以包括不以.com / .net / etc结尾的Intranet网站不应该在IE10中“兼容X-UA兼容IE =边缘”标题覆盖“在兼容性视图中显示内部网站点”？此代码容易受到SQL注入的攻击吗？它容易受到ASP Padding oracle的攻击 Preparedquery容易受到Sql注入的攻击 WebClient凭据SharePoint Intranet 获取Intranet身份验证用户

相关标签

粤ICP备18138465号 © 2020-2024 STACKOOM.COM