45 messaggi dal 08 maggio 2001
Se invece di voler proteggere l'intero sito volessi proteggere solo un'Area cosa dovrei aggiungere come filtro?
6 messaggi dal 10 novembre 2010
Come sempre i tuoi articoli sono molto interessanti ... Vorrei, se posso, divagare un po' ed essere rassicurato sulla effettiva protezione dell'attributo Authorize unito a ValidateAntiForgeryToken nelle chiamate POST considerando che faccio un'utilizzo massiccio di $.ajax e $.getJson.
Sono in particolare preoccupato di attacchi XSS e CSRF quando effetuo chiamate Ajax per aggiornare dinamicamente la pagina o salvare alcuni dati nel database... non so se sono stato chiaro.. Grazie per l'attenzione.. Saluti
Ciao,

per quanto riguarda XSS, il modo per tutelarti è essere certo di effettuare l'encoding, tramite AntiXSS library, di tutto ciò che porti in output e che possa provenire da fonte esterna.

AntiForgeryToken dovrebbe porti al riparo da CSRF.

Per risposte più specifiche, dovrei avere maggiori dettagli

A presto,
m.
6 messaggi dal 10 novembre 2010
Grazie ..in effetti in poche righe ho messo in campo una domanda che porta con se un argomento molto vasto e complesso.. Ti ringrazio per il suggerimento dell'utilizzo AntiXSS library che non ho fatto e farò...

Per quanto riguarda invece gli attacchi CSRF il mio dubbio si pone non tanto quando invio i dati tramite una chiama POST dal form ad un controller al quale ho indicato l'attributo AntiForgeryToken, ma nel caso richieda delle operazioni anche di modifica di dati attraverso l'utilizzo ( magari anche all'interno dello stesso form sopramenzionato) di Ajax.

In questo caso, se non erro, l'attributo non può controllare il token quindi è possibile che la stessa chiamata Ajax sia utilizzata in modo malevolo soprattutto se non sono efficacemente protetto da attacchi XSS.

La mia riflessione quindi potrebbe riassumersi:
dando per "certo" che l'attributo AntiForgeryToken sia sicuro c'è un modo di sfruttarlo con le chiamate Ajax?

Grazie ancora....

Saluti
Samuele
1.492 messaggi dal 27 dicembre 2005
Quale è l'implementazione della classe GlobalAuthorize ?
1.492 messaggi dal 27 dicembre 2005
Ritorno su qeusto argomento,
filters.Add(new GlobalAuthorize()); basta questo per proteggere tutto il sito ?

Torna al forum | Feed RSS

ASPItalia.com non è responsabile per il contenuto dei messaggi presenti su questo servizio, non avendo nessun controllo sui messaggi postati nei propri forum, che rappresentano l'espressione del pensiero degli autori.