MVC Html.AntiForgeryToken() 防止CSRF攻击

最新推荐文章于 2021-08-06 16:20:48 发布
最新推荐文章于 2021-08-06 16:20:48 发布
阅读量2.5k 收藏 1
点赞数
分类专栏: 服务器安全 Asp.net MVC WebForms
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/litao2/article/details/8823099
版权
本文详细介绍了MVC中的AntiForgeryToken如何防止跨站请求伪造(CSRF)攻击。通过在View中使用@Html.AntiForgeryToken()生成隐藏字段,并在Controller的Action上添加[ValidateAntiForgeryToken]特性,确保请求的cookie与页面隐藏字段值匹配,从而避免攻击。文中通过实例展示了CSRF攻击的原理和防止方法,强调了在进行数据操作时防止CSRF攻击的重要性。
摘要由CSDN通过智能技术生成

MVC中的Html.AntiForgeryToken()是用来防止跨站请求伪造(CSRF:Cross-site request forgery)攻击的一个措施,它跟XSS(XSS又叫CSS:Cross-Site-Script),攻击不同,XSS一般是利用站内信任的用户在网站内插入恶意的脚本代码进行攻击,而CSRF则是伪造成受信任用户对网站进行攻击

解决方法:

View视图页面用@Html.AntiForgeryToken()生成一个隐藏的窗体字段(防伪标记),在提交窗体时将验证此字段
Controller控制器用[ValidateAntiForgeryToken]该特性用于检测服务器请求是否已被篡改

 

举个简单例子,譬如整个系统的公告在网站首页显示,而这个公告是从后台提交的,我用最简单的写法:

网站后台(Home/Index页面)设置首页公告内容,提交到HomeController的Text Action

 

@using (Html.BeginForm("Text","Home",FormMethod.Post))
{
    @:网站公告:<input type="text" name="Notice" id="Notice" />
    <input type="submit" value="Submit" />
}


HomeController的Text Action

[HttpPost]
 public ActionResult Text()
 {
     ViewBag.Notice = Request.Form["Notice"].ToString();
     return View();
 }


填写完公告,提交,显示

此时提供给了跨站攻击的漏洞,CSRF一般依赖几个条件

(1)攻击者了解受害者所在的站点

 

(2)攻击者的目标站点具有持久化授权cookie或者受害者具有当前会话cookie

最低0.47元/天 解锁文章
tiz198183
关注
专栏目录
[Asp.net MVC]Html.AntiForgeryToken()
weixin_34360651的博客
04-25 263
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因...
@html.antiforgerytoken() 原理,HtmlHelper.AntiForgeryToken Method (System.Web.Mvc) | Microsoft Docs
weixin_39553423的博客
06-03 189
CautionThis method is deprecated. Use the AntiForgeryToken() method instead. To specify a custom domain for the generated cookie, use the configuration element. To specify custom data to be embedded w...
MVC防止跨站攻击@Html.AntiForgeryToken()
weixin_30421809的博客
06-05 198
ASP.NET MVC 中有个标签:@Html.AntiForgeryToken(),需要在页面中加入这个标签,然后在Actoin中加入特性[ValidateAntiForgeryToken]就可以了。 参考:https://www.cnblogs.com/liangdaye/p/4511268.html 转载于:https://www.cnblogs.com/xsj1989/p/9...
切记ajax中要带上AntiForgeryToken防止CSRF攻击
12-11
经常看到在项目中ajax post数据到服务器不加防伪标记,造成CSRF攻击 在Asp.net Mvc里加入防伪标记很简单在表单中加入Html.AntiForgeryToken()即可。 Html.AntiForgeryToken()会生成一对加密的字符串,分别存放在...
浅谈ASP.NET MVC 防止跨站请求伪造(CSRF)攻击的实现方法
10-18
在*** MVC开发中,防范跨站请求伪造(Cross-Site Request ...这些措施能够有效提高Web应用的安全性,防止CSRF攻击者滥用用户发起的请求。*** MVC框架提供的这种防伪令牌机制简单易用,是防御CSRF攻击的首选方法。
【ASP.NET编程知识】浅谈ASP.NET MVC 防止跨站请求伪造(CSRF)攻击的实现方法.docx
最新发布
05-21
接着,文章介绍了 ASP.NET MVC防止 CSRF 攻击的方法,包括在 View 中使用 Html.AntiForgeryToken() 方法和在 Controller 中使用 [ValidateAntiForgeryToken] 注解。 CSRF 攻击是指攻击者诱骗用户点击恶意链接或...
@Html.AntiForgeryToken() 源码分析,表单防伪码的生成
weixin_30507269的博客
06-07 150
源码来自MVC4@Html.AntiForgeryToken() 源码分析 public MvcHtmlString AntiForgeryToken() { return new MvcHtmlString(AntiForgery.GetHtml().ToString()); } AntiForgery源自System.Web.Helpers.AntiForg...
.net mvc @html.antiforgerytoken(),aspnet mvc使用@Html.AntiForgeryToken()防止跨站攻击
weixin_39901213的博客
06-20 566
asp.net mvcHtml.AntiForgeryToken()可以防止跨站请求伪造攻击,它跟XSS(XSS又叫CSS:Cross-Site-Script),攻击不同,XSS一般是利用站内信任的用户在网站内插入恶意的脚本代码进行攻击,而CSRF则是伪造成受信任用户对网站进行攻击。举个简单例子,譬如整个系统的公告在网站首页显示,而这个公告是从后台提交的,我用最简单的写法:网站后台(Home/I...
aspnet mvc使用@Html.AntiForgeryToken()防止跨站攻击
chenyili1019的博客
03-30 400
asp.net mvcHtml.AntiForgeryToken()可以防止跨站请求伪造攻击,它跟XSS(XSS又叫CSS:Cross-Site-Script),攻击不同,XSS一般是利用站内信任的用户在网站内插入恶意的脚本代码进行攻击,而CSRF则是伪造成受信任用户对网站进行攻击。举个简单...
@html.antiforgerytoken() 原理,Html.AntiForgeryToken只有IIdentity
weixin_35973657的博客
06-03 405
我有一个实现IIdentity的自定义标识,但它不会从ClaimsIdentity继承 . 在过去,只要它实现了IIdentity,您就可以拥有一个可以正常运行的自定义标识 .我已经将ClaimsAuthenticationManager用于将外部SSO进程映射到我的自定义标识上 . 由于每个提供程序都可以呈现不同的声明集,因此我使用ClaimsAuthenticationManager将它们映射...
C# AntiForgeryToken防XSRF漏洞攻击
一切皆有联系
08-08 9448
XSRF:跨站请求伪造 XSRF即在访问B站点的时候,执行了A站点的功能。 比如: A站点登录后,可以修改用户的邮箱(接口:/Email/Modify?email=123),修改邮箱时只验证用户有没有登录,而且登录信息是保存在cookie中。 用户登录A站点后,又打开一个窗口访问B站点,如果这时B站点内嵌入了一条链接http://www.A.com/Email/Modify?email=123
htmlcsrf漏洞代码,MVC Html.AntiForgeryToken() 防止CSRF攻击
weixin_39552037的博客
06-10 196
MVC中的Html.AntiForgeryToken()是用来防止跨站请求伪造(CSRF:Cross-site request forgery)攻击的一个措施,它跟XSS(XSS又叫CSS:Cross-Site-Script),攻击不同,XSS一般是利用站内信任的用户在网站内插入恶意的脚本代码进行攻击,而CSRF则是伪造成受信任用户对网站进行攻击。举个简单例子,譬如整个系统的公告在网站首页显示,而...
ajax antiforgery,在 AJAX 裡使用 AntiForgeryToken - (MVC)
weixin_36297610的博客
08-06 402
在 AJAX 裡使用 AntiForgeryToken - (ASP.NET MVC 防範 CSRF 攻擊)在MVC的架構底下,要防止CSRF 攻擊可以在檢視頁面上加入使用 AntiFrogeryToken,並且在後端所對應的 Action 方法加上Attribute[ValidateAntiForgeryToken]作法很簡單,但是如果我今天想要使用Ajax去跟後端互動,該如何使用AntiFr...
ASP.NET MVC过滤器中权限过滤器ValidateAntiForgeryToken的用法(Post-Only)
bancan7696的博客
07-08 551
用途:防止CSRF(跨网站请求伪造)。 用法:在View->Form表单中:<%:Html.AntiForgeryToken()%> 在Controller->Action动作上:[ValidateAntiForgeryToken] 原理: 1、<%:Html.AntiForgeryToken()%>这个方法会生成一个隐藏域:&...
Spring MVC防御CSRF、XSS和SQL注入攻击
weixin_33774615的博客
11-01 542
本文说一下SpringMVC如何防御CSRF(Cross-site request forgery跨站请求伪造)和XSS(Cross site script跨站脚本攻击)。 说说CSRFCSRF来说,其实Spring3.1、ASP.NET MVC3、Rails、Django等都已经支持自动在涉及POST的地方添加Token(包括FORM表单和AJAX POST等),似乎是一个tag的事情,...
ASP.NET MVC防范CSRF攻击策略详解
ASP.NET MVC框架提供了一套内置机制来防御CSRF攻击。主要的防御措施是在视图(View)中使用`Html.AntiForgeryToken()`生成一个唯一的令牌,并在表单提交时将其包含在内。同时,在控制器(Controller)的方法上添加`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

tiz198183

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值