avatar
文章
212
標籤
444
分類
9
首頁
頁面
  • 歸檔
  • 標籤
  • 分類
關於
kyosora 筆記
搜尋
首頁
頁面
  • 歸檔
  • 標籤
  • 分類
關於

CSRF

在 .NET Core + Vue.js 專案中實作 CSRF 防護
發表於2024-11-18|資訊安全
安全性掃描丟回來一張紅單那次例行安全性掃描跑完,報告裡躺著一條 CSRF(Cross-Site Request Forgery)漏洞。專案是前後端分離:後端 .NET Core Web API,前端 Vue.js 跑在另一個來源(origin),用 Cookie 帶身分驗證。這種架構最容易踩到 CSRF,因為瀏覽器只要看到對應網域,就會自動把 Cookie 附上去,不管請求是誰發起的。 補這個洞花的時間比我預期久,主要卡在兩個地方:一是 ASP.NET Core 的 Antiforgery API 有不少網路文章寫錯,照抄根本編不過;二是 SameSite 設定跟前後端分離的架構互相打架,調了好幾次才搞懂。這篇把走過的彎路記下來,程式碼都實際跑過。 CSRF 到底在攻擊什麼CSRF 利用的是「瀏覽器會自動帶 Cookie」這件事。攻擊不需要偷到你的帳密,它借用的是你「已經登入」的狀態。 典型流程是這樣: 使用者登入了網路銀行,瀏覽器存了驗證 Cookie 同個瀏覽器分頁打開了一個惡意網站 惡意網站偷偷送一個 POST 到網路銀行的轉帳端點 瀏覽器看到目標是網路銀行,就把驗證 C...
avatar
kyosora
技術探索與學習分享
文章
212
標籤
444
分類
9
GitHub
最新文章
日產 3 萬 7 千行 AI 程式碼很猛?有人掀開 YC 執行長網站的引擎蓋
日產 3 萬 7 千行 AI 程式碼很猛?有人掀開 YC 執行長網站的引擎蓋2026-07-08
Fable 5 只有一次機會,我沒叫它寫程式:讓最強模型幫接班的弱模型立制度
Fable 5 只有一次機會,我沒叫它寫程式:讓最強模型幫接班的弱模型立制度2026-07-07
封 AI 爬蟲卻把 Googlebot 一起擋掉?Cloudflare 新版 AI 流量控制的三個分類與一個期限
封 AI 爬蟲卻把 Googlebot 一起擋掉?Cloudflare 新版 AI 流量控制的三個分類與一個期限2026-07-02
乾淨的 GitHub repo 也能讓 Claude Code 幫你開反向 shell
乾淨的 GitHub repo 也能讓 Claude Code 幫你開反向 shell2026-07-02
18 天前 Fable 5 被政府按掉,今天 Anthropic 連 Sonnet 5 一起還回來
18 天前 Fable 5 被政府按掉,今天 Anthropic 連 Sonnet 5 一起還回來2026-07-01
分類
  • AI工具實戰86
  • AI產業觀察44
  • 前後端開發17
  • 工具與生產力45
  • 程式設計53
  • 系統與維運17
  • 職涯與反思20
  • 資料庫11
  • 資訊安全21
標籤
LLMClaudeDeepSeekGeminiAI 趨勢OpenRouterCSS本地LLMbenchmarkATLAS成本分析AI AgentNemoClawOpenClawGTC 2026框架選型Claude Code多 Agent 系統開發者工具GitHub 開源CursorTemporal系統可靠性工程實踐Firefox安全漏洞AI安全研究LLM應用GitHub TrendingAI投資產業分析開發者生態NVIDIAAI Coding Assistant安全性開發經驗GPT-5.4Computer Use自動化
歸檔
  • 2026年07月 5
  • 2026年06月 22
  • 2026年05月 17
  • 2026年04月 5
  • 2026年03月 47
  • 2026年02月 3
  • 2026年01月 2
  • 2025年12月 2
網站資訊
文章數量 :
212
運行時間 :
總字數 :
395.3k
最後更新時間 :
© 2024 - 2026 By kyosora
搜尋
資料載入中