asp.net - 安全审计 Asp.Net 中的 URLReferer 漏洞
问题描述
我Request.UrlReferrer = null
正在page_load
检查Postback
. 但是,如果它不是 null 并且仍然有人使用BurpSuite更改引荐来源标头值。然后它应该重定向到默认的 errorpage。
我应该如何验证这一点?
解决方案
您不能信任用户输入,并且请求标头(包括referer)是用户输入,它们可以由客户端任意选择。授权决策不应基于此,因为正如您所说,客户可以发送他们想要的任何推荐人。
从您的问题听起来更像是您需要某种会话来存储客户端状态。
推荐阅读
- ios - 如何使用导航视图解决损坏的 UIKeyboardLayoutGuide?
- turtle-graphics - Clear() 清除整个屏幕,而不只是一个海龟图纸?
- node.js - 如何从 Typecript 文件执行命令?
- app-store-connect - 好评,但在 Play Store/App Store 上 1 星。我怎么解决这个问题?
- apache-spark-sql - pyspark 数据在错误的列中
- rust - 为什么使用匹配时参数的顺序很重要!宏?
- javascript - 快递:无法路由
- eclipse - 从码头的标题中隐藏服务器版本
- c# - 如果我之后在 EF Core 中执行 Select,则过滤包括恢复
- metadata - 有没有办法在 Infra 元数据表中获取当前正在运行的 Informatica 工作流的预计完成时间