ASP.NET Core 知识速递 - Day 8：每天进步一点

文章预览

这节我们讲解一下反伪造令牌，它是ASP.NET Core中的一项安全技术，用于防止跨站 伪造 请求(CSRF)攻击。在展开这个话题之前我们首先介绍一下什么是CSRF。 跨站请求伪造（CSRF）是一种针对托管在 Web 上的应用程序的攻击，恶意应用程序(通常指Web)可以影响客户端浏览器与信任该浏览器的Web 应用之间的交互。之所以有这种攻击，是因为 Web 浏览器会自动将用户身份验证令牌与每次发送给网站的请求一起打包发送。由于这种攻击利用了用户已认证的会话，它也被称为“一键攻击”或“会话骑乘”。跨站请求伪造也被称为 XSRF 或 CSRF。 例子： 1. 用户登录www.good-banking-site.example.com网站，服务器对用户进行身份验证并返回包含身份验证 Cookie 的响应。该站点容易受到攻击，因为它信任任何带有有效身份验证 Cookie 的请求。 2. 用户无访问了恶意站点：www.bad-crook-si ………………………………