Ho una manciata di pagine con la richiesta HttpPost
e ho ricevuto un documento dal mio collega che esegue la scansione del mio sito con Acunetix
(credo). Il risultato dice HTML form without CSRF protection (9)
. Il suggerimento è di utilizzare Same-origin policy
implementando token. La mia domanda:Devo usare ValidateAntiForgeryToken in ogni richiesta POST?
- Dal punto di vista delle prestazioni vs sicurezza, ne vale la pena se uso
Token
in ogni richiestaPOST
? Io uso soloToken
in sensibilePOST
richiesta come LOGIN, Register, transazione, ecc - Questo probabilmente non è rilevante con il titolo, ma perché il software pentest come
Acunetix
elencare solo alcune delle mie pagineCSRF
possibile rischio quando ho un molte pagine con la richiestaPOST
, come funziona il pattern di rilevamento?
Qualsiasi aiuto sarà apprezzato.