.NET CORE防止CSRF跨站请求伪造

可以加特性ValidateAntiForgeryToken实现,还可以配合一个ActionName
比如微软.NET CORE官方的一个案例中

 
  1. [HttpGet, ActionName("Delete")]
  2. [ValidateAntiForgeryToken]
  3. public async Task<IActionResult> DeleteConfirmed(int id)
  4. {
  5.     var student = await _context.Students.FindAsync(id);
  6.     _context.Students.Remove(student);
  7.     await _context.SaveChangesAsync();
  8.     return RedirectToAction(nameof(Index));
  9. }

使用到了它们,你直接访问是访问不到的,直接给你一个404


就是让你强制走正常的流程,必须要是点击确实删除按钮发起的请求才能被正确的响应,或者其他方式发起的请求一律不接受,直接返回404。
对于删除这类操作,可以用一下,不然你得多添加很多验证,要验证删除方法的正确性,验证参数的正确性等等。也是相当于多一层保护,还有对于转账等等业务这块也要特别小心。

它的原理是配合token来实现的,比如访问/Student/Delete的时候生成一个token在前台的隐藏域中,然后当你访问/Student/DeleteConfirmed的时候验证你的token是否有效,就可以知道你的请求是正常流程走的,还是其他途径来的,当然我们可能还会需要配合其他一些辅助手段来完善验证

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值