Как реализовать защиту CSRF в своем приложении
У меня есть HTML-страница с формой в моем приложении. HTML-страница имеет кнопку отправки, которая отправляется обработчику (ashx) или странице aspx в моем же веб-приложении.
Я хочу реализовать защиту CSRF для своего приложения. Любое предложение или руководство по этому поводу приветствуется.
Что я уже пробовал:
Я подумал о том, чтобы получить какой-нибудь токен с сервера и сохранить его на HTML-странице. Когда форма будет отправлена на сервер, я проверю действительность токена на странице ASHX/ASPX. Как я должен сгенерировать токен на сервере, сохранить его на сервере и снова проверить на сервере при отправке формы? Я использую базу данных для хранения информации о сеансе.
Atlapure Ambrish
Для CSRF обратитесь к приведенным ниже URL-адресам..
https://software-security.sans.org/developer-how-to/developer-guide-csrf
https://stackoverflow.com/questions/29939566/preventing-cross-site-request-forgery-csrf-attacks-in-asp-net-web-forms
Поскольку вы думаете сгенерировать токен и сохранить его на сервере для последующей проверки, я думаю, что вы можете это сделать. Подход должен состоять в том, чтобы сгенерировать GUID (или это может быть любое значение по вашему выбору, было бы более выгодно, если бы вы могли сделать его настраиваемым), а затем зашифровать его перед хранением на сервере с помощью некоторого алгоритма, а затем добавить его в скрытое поле вашей формы. Шифрование добавило бы дополнительный уровень проверки.