asp.net和跨站点请求伪造

Question

我们最近在应用程序中运行了一个Appscan aganist，并在几页上报告显示： 以下更改已应用于原始请求：

• 将HTTP标头设置为“http://bogus.referer.ibm.com” 推理：
  在不同的会话中发送了两次相同的请求，并收到了相同的响应。 这表明没有任何参数是动态的（会话标识符仅在 cookie）因此应用程序容易受到此问题的影响。

我对如何处理这个问题感到有点困惑，我应该只看看Request.UrlReferrer并确保它与URL中的内容相同，还是有更好的方法来处理它？<​​/ p>

感谢。

Answer 1

Referrer标头很容易被欺骗。您需要使用CSRF令牌（我推荐同步器令牌模式）来证明请求的起源。有an awesome resource at OWASP你绝对应该阅读。祝你好运！