У меня есть приложение AngularJS для одиночной страницы (SPA), размещаемое приложением ASP.NET MVC.
Внутренний сервер ASP.NET Web Api.
Я бы хотел защитить его от атак CSRF, создав AntiForgeryToken
в части ASP.NET MVC, передав ее AngularJS. > , а затем Web Api подтвердите AntiForgeryToken
, полученные от последующих вызовов AngularJS.
"Подделка запросов на межсайтовый запрос (CSRF) - это атака, которая заставляет пользователя для выполнения нежелательных действий в веб-приложении, в котором они находятся в настоящее время аутентифицирован. Специальные атаки CSRF запросы, изменяющие состояние, а не кражу данных, поскольку у злоумышленника нет способ увидеть ответ на поддельный запрос. С небольшой помощью социальная инженерия (например, отправка ссылки по электронной почте или чату), злоумышленник может обмануть пользователей веб-приложения в выполнение действия выбора злоумышленника. Если жертва является обычным пользователем, успешная атака CSRF может заставить пользователя выполнить изменение состояния запросы, такие как перевод средств, изменение их адреса электронной почты и т.д. вперед. Если жертва является административной учетной записью, CSRF может пойти на компромисс всего веб-приложения".
- Открытый проект безопасности веб-приложений (OWASP)