如何为ASP.net Web (而不是asp.net MVC)实现反CSRF

Question

如何实现针对ASP.net表单的整个网站的抗CSRF。是否有任何方法在我们的Global.asax文件或web.config文件中为所有请求和响应实现它。

我们使用的是.net 3.5和VS-2012，我们没有任何母版页。

Answer 1

我也遇到过类似的挑战。底线是你真的不能。最初我试图使VIEWSTATE从web.config中获得安全，但这还不够好。您需要在每个会话中使VIEWSTATE 唯一的。

因此，您要么需要母版页，要么需要为每个用户会话触发某种页面或代码。这个场景(每个用户会话)都不包括在web.config或app.config中。

希望这能澄清我知道这也令人失望..。

幸运的是，我的项目(使用400+窗体)使用了母版页，因此我能够实现它。

我相信你已经看到了这个实现，但以防万一。http://software-security.sans.org/developer-how-to/developer-guide-csrf