[英]Are intranet sites vulnerable to CSRF?
我已经开发并部署了一个MVC5 .NET应用程序,该应用程序在Intranet中运行,并使用LDAP来验证用户身份。 由于MVC 5在默认情况下为您提供了@ Html.Antiforgery(),因此我在每一项中都使用了它们。 但是在应用程序在多个节点中运行的生产环境中,会话期满等时,令牌存在问题。
所以我想知道我是否应该一开始就使用它们,或者由于该站点在Intranet上运行,是否可以删除它们。
对,他们是。 例如,恶意用户可以发送您的一名员工和一封电子邮件,其中包含带有指向您的Intranet页面之一的URL的清晰GIF,或者某个员工可以访问包含javascript的网页,该Javascript发布到您的Intranet页面之一。
清除GIF攻击的缓解措施是设计您的Intranet站点,以便GET请求永远不会更新状态或执行敏感操作。
缓解脚本/后攻击的方法是,在所有表单中都包含CSRF令牌。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.