Her bir POST isteğinde ValidateAntiForgeryToken kullanmalı mıyım?

Question

HttpPost isteği içeren bir sayfam var ve sitemi Acunetix (sanırım) ile tarayan iş arkadaşımdan bir belge aldım. Sonuç, HTML form without CSRF protection (9) diyor. Öneri, Token'i uygulayarak Same-origin policy'u kullanmaktır. Sorum: Her POST istekte Token kullanırsanız

Güvenlik açısından vs performans itibaren

1. , buna değer mi? Sadece vb kaydolmak, oturum açmak İşlem, gibi hassas POST istekte Token kullanmak
2. Bu muhtemelen başlıkla alakalı değil, ama Acunetix gibi pentest yazılımını neden yaptığını bir olduğunda sadece CSRF mümkün riski gibi benim sayfaların birkaç listeye POST isteği ile sayfalar çok, algılama deseni nasıl çalışır?

Herhangi bir yardım takdir edilecektir.

Answer 1

Evet, en iyi uygulamaları kullandığınızı varsayarak HttpPost ürününe ValidateAntiForgeryToken özniteliğini eklemelisiniz ve HttpPost, isteğin bir çeşit yan etkiye sahip olduğu anlamına gelir.

konuda uzun bir tartışma için

, Acunetix sadece hayır belirteç varken bir form içeren her sayfasında bu rapor gibi görünüyor This discussion over on IT security SE site.

bakın. Their documentation'a bakın.