Checkmarx жалуется на проблему с XSRF в нашем веб-приложении. Мы используем веб-формы ASP.NET с фреймворком 4.0 (не MVC).
Checkmarx сказал: Метод btnSubmit_Click в строке 1760 файла \ABC.aspx.vb получает параметр из URL-адреса запроса пользователя из текста элемента. Это значение параметра проходит через код и в конечном итоге используется для изменения содержимого базы данных. Приложение не требует повторной аутентификации пользователя для запроса. Это может привести к подделке межсайтовых запросов (XSRF).
Любая идея о том, как предотвратить XSRF из приложения веб-формы ASP.NET?
Мы перепробовали множество решений, но ни одно из них не прошло проверку Checkmarx. Вот некоторые вещи, которые мы пробовали:
https://software-security.sans.org/developer-how-to/developer-guide.-csrf
или
http://willseitz-code.blogspot.com/2013/06/cross-site-request-forgery-for-web-forms.html?m=1
или
Я думаю, что приведенные выше решения должны работать и защищать/предотвращать нашу веб-форму от рисков CSRF/XSRF, но почему Checkmarx не может ее обнаружить? Это ложное срабатывание?
