在 .NET Core + Vue.js 專案中實作 CSRF 防護
在 .NET Core + Vue.js 專案中實作 CSRF 防護前言最近在進行安全性掃描時,發現了 CSRF (Cross-Site Request Forgery) 的漏洞。本文將分享如何在 .NET Core Web API 搭配 Vue.js 的專案中實作完整的 CSRF 防護機制,並提供詳細的最佳實作建議。 CSRF 是什麼?CSRF 是一種強迫使用者在他們已經通過身份驗證的網站上執行非預期操作的攻擊。 攻擊場景示例考慮以下實際場景: 使用者登入了網路銀行 同時瀏覽了含有惡意程式碼的網站 惡意網站自動發送請求到網路銀行 由於使用者已登入,請求會帶著有效的 Cookie 執行 實際攻擊範例12345678<!-- 惡意網站的 HTML --><form action="https://bank.example.com/transfer" method="POST" id="hack-form"> <input type="hidden"...