¿Cuáles son los detalles de implementación y los fundamentos de AntiForgeryToken de ASP.NET MVC3?

4

El AntiForgeryToken se usa para prevenir ataques CSRF, sin embargo, los enlaces en MSDN no me dan mucha información sobre lo que hace exactamente el AntiForgeryToken, o cómo funciona, o por qué las cosas se hacen como están.

De lo que recojo, crea un hash dentro de una página web y una cookie. Uno o ambos utilizan el hash IPrincipal.Name , y usan cifrado simétrico.

¿Alguien puede arrojar luz sobre:

  1. Cómo funciona internamente el AntiForgeryToken
  2. ¿Qué se debe utilizar para proteger?
  3. ¿Qué NO debe usarse para proteger?
  4. ¿Cuál es el razonamiento detrás de las opciones de implementación para el # 1 anterior?
pregunta random65537 06.02.2011 - 18:03
fuente

1 respuesta

1

Todo el CSRF se evita mediante el uso de nonce criptográfico que el atacante no puede obtener debido a Same-Origin Policy . Este no es un problema que la criptografía simétrica pueda resolver.

Echa un vistazo a la Hoja de referencia de prevención de CSRF .

    
respondido por el rook 29.03.2011 - 18:19
fuente

Lea otras preguntas en las etiquetas