问题描述
我们使用 ASP.NET MVC CSRF 令牌,它基本上如下:
这是一个未经身份验证的注册页面,带有验证用户名的 AJAX 调用。 __RequestVerificationToken 设置在 session 范围内,这意味着它会在用户关闭浏览器后消失。
但是,通过这种设置,黑客可以通过多次传递相同的 requestVerificationToken 令牌和 cookie 来枚举用户名。
问题:
- 是否可以使会话范围内的 __RequestVerificationToken 令牌无效,因为它是未经身份验证的模式?
注意: 如果他们多次尝试,我们可以在 FE 上显示 Captcha。但如果他们只是使用 Ajax API,它就会绕过验证码。
想知道修复此问题的最佳方法是什么。
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)