ASP.NET MVC过滤器中权限过滤器ValidateAntiForgeryToken的用法(Post-Only)

最新推荐文章于 2021-08-29 16:25:01 发布
最新推荐文章于 2021-08-29 16:25:01 发布
阅读量82 收藏
点赞数
原文链接:http://www.cnblogs.com/PigJar/archive/2011/07/08/PostOnly.html
版权

用途:防止CSRF(跨网站请求伪造)。

用法:在View->Form表单中:<%:Html.AntiForgeryToken()%>

        在Controller->Action动作上:[ValidateAntiForgeryToken]

原理

1、<%:Html.AntiForgeryToken()%>这个方法会生成一个隐藏域:<input name="__RequestVerificationToken" type="hidden" value="7FTM...sdLr1" />并且会将一个以"__RequestVerificationToken“为KEY的COOKIE给控制层。

2、[ValidateAntiForgeryToken],根据传过来的令牌进行对比,如果相同,则允许访问,如果不同则拒绝访问。

关键:ValidateAntiForgeryToken只针对POST请求。

换句话说,[ValidateAntiForgeryToken]必须和[HttpPost]同时加在一个ACTION上才可以正常使用。

这其中的原理我也没想明白,等下次好好把MVC的源代码看看。

不过我这么说是有根据的,我写了一些案例做了测试。

案例

1、在一个ACTION的GET和POST方式分别加了[ValidateAntiForgeryToken]特性

Action:

 

2011070823411840.jpg 

2、用一个测试页面以POST方式去请求ACTION,结果是成功的。并且,隐藏域的值和COOKIE都是可以拿到的。

测试Post的页面:

2011070823423970.jpg

3、用一个测试页面以GET方式去请求ACTION,报错。

测试Get的页面:

2011070823490719.jpg

推荐使用方式:

1、Post-Only:大概思想是,拒绝所有的GET,只允许自己的POST。(安全,但不灵活)

2、GET只做显示,对所有的GET开放;POST做修改,对外界关闭,对自己开放。(灵活,但不够安全)

国外有个人说,其实这个过滤器本身就不安全,他如是说,所有的REQUEST都是可以伪造的。

转载于:https://www.cnblogs.com/PigJar/archive/2011/07/08/PostOnly.html

weixin_30384217
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ASP.NET mvc4过滤器的使用
01-03
mvc4过滤器 过滤器(Filter)把附加逻辑注入到MVC框架的请求处理。实现了交叉关注。 交叉关注:用于整个应用程序,又不适合放在某个局部位置的功能。 过滤器是.NET的注解属性(Attribute),它们对请求处理管道添加...
Asp.Net MVC学习总结之过滤器详解
10-20
本篇文章主要介绍了Asp.Net MVC学习总结之过滤器详解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
asp.net 网站 防止CSRF攻击 使用 ValidateAntiForgeryToken
LYBWWP
10-21 547
一.CSRF是什么?   CSRF(Cross-site request forgery),文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。 三.CSRF漏洞现状   
ASP.NET MVC 使用防伪造令牌来避免CSRF攻击
机械键盘侠博客
06-24 746
本文转自这篇文章 XSRF即在访问B站点的时候,执行了A站点的功能。 比如: A站点登录后,可以修改用户的邮箱(接口:/Email/Modify?email=123),修改邮箱时只验证用户有没有登录,而且登录信息是保存在cookie。 用户登录A站点后,又打开一个窗口访问B站点,如果这时B站点内嵌入了一条链接http://www.A.com/Email/Modify?email=...
MVC [ValidateAntiForgeryToken] 的作用
weixin_30633507的博客
12-02 721
ValidateAntiForgeryToken 防止CSRF(跨网站请求伪造) 用途:防止CSRF(跨网站请求伪造)。 用法:在View->Form表单:<%:Html.AntiForgeryToken()%> 在Controller->Action动作上:[ValidateAntiForgeryToken] 原理: 1、<...
mvc [ValidateAntiForgeryToken] 的作用及用法
极客神殿
08-29 3234
一.CSRF是什么? CSRF(Cross-site request forgery),文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 三.CSRF漏洞现状 CSRF这种攻击方式在2000年
ASP.NET Core MVC 过滤器的使用方法介绍
01-03
使用过滤器可以避免Action方法的重复代码,例如,您可以使用异常过滤器合并异常处理的代码。 过滤器如何工作? 过滤器MVC Action 调用管道运行,有时称为过滤器管道。MVC选择要执行的Action方法后,才会执行...
asp.net core MVC 过滤器之ActionFilter过滤器(2)
01-03
本系类将会讲解asp.net core MVC的内置过滤器的使用,将分为以下章节  asp.net core MVC 过滤器之ExceptionFilter过滤器(一)  asp.net core MVC 过滤器之ActionFilter过滤器(二)  asp.net core MVC 过滤器...
ASP.NET MVC AntiForgeryToken
Travelling1006的专栏
07-18 117
你开发一个网站,其有个功能:新闻发布。 你是这样实现的: 1.保存新闻的方法是:/News/Save POST提交 2.接受两个参数:title和content 有一天,你登录网站(浏览器会保存相关cookie),发布了一条新闻,发布成功。 然后打开了NSFW网站(你站点的相关cookie还在),这个网站等你很久了,他知道你的新闻发布功能的实现,于是在页面嵌入一段脚本,模...
[Abp 源码分析]ASP.NET Core 集成
dotNET跨平台
02-10 482
点击上方蓝字关注我们0. 简介整个 Abp 框架最为核心的除了Abp库之外,其次就是Abp.AspNetCore库了。虽然 Abp 本身是可以用于控制台程序的,不过那样的话 Abp...
自写过滤器替代ValidateAntiForgeryToken解决asp.net mvc关于提供的防伪标记适用于其他基于声明的用户,而不适用于当前用户的错误
sxf359的博客
09-03 5200
以前写过一篇 asp.net mvc关于提供的防伪标记适用于其他基于声明的用户,而不适用于当前用户错误的处理 的博文,在那篇博文最后留下了遗憾,在那篇博文自定义的过滤器需要在action 调用两次,才能避免出现关于提供的防伪标记适用于其他基于声明的用户,而不适用于当前用户这样的错误提示。调用的代码是这样的: [HttpPost] [AllowAnonymous] [LoginAuthoriz
c mvc ajax 删除,asp.net mvcasp.net core Ajax删除操作deleteValidateAntiForgeryToken实例...
weixin_29586571的博客
08-06 207
ValidateAntiForgeryToken ajax[ValidateAntiForgeryToken]为防止CSRF,asp.net core会在form自动注入一个隐藏域防止攻击自动加入:或者使用beginform自动加入隐藏域@using (Html.BeginForm("ChangePassword", "Manage")){...}或手动加入:@Html.AntiForgeryT...
关于CSRF攻击及mvc的解决方案 [ValidateAntiForgeryToken]
码过烟云
12-05 2万+
一.CSRF是什么?   CSRF(Cross-site request forgery),文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚
C# AntiForgeryToken防XSRF漏洞攻击
一切皆有联系
08-08 9357
XSRF:跨站请求伪造 XSRF即在访问B站点的时候,执行了A站点的功能。 比如: A站点登录后,可以修改用户的邮箱(接口:/Email/Modify?email=123),修改邮箱时只验证用户有没有登录,而且登录信息是保存在cookie。 用户登录A站点后,又打开一个窗口访问B站点,如果这时B站点内嵌入了一条链接http://www.A.com/Email/Modify?email=123
ValidateAntiForgeryToken的用途,解释和示例
p15097962069的博客
07-20 2644
Could you explain ValidateAntiForgeryToken purpose and show me example about ValidateAntiForgeryTok
ASP.NET MVC AntiForgeryToken根本防不了CSRF攻击,别被骗了!
tongyinqiu的博客
08-16 1811
如题,ASP.NET MVC AntiForgeryToken根本防不了CSRF攻击。 在表单里生成一个隐藏域,在cookie放个令牌,加上表头验证,这些能防住什么,说白了只能防住那些一窍不通的人。 在墙洞上糊了张纸。 说白了你没有登出,我弄张页面里面放个隐藏的iframe指向你的页面,加载完成就提交表单,你能怎么办,你能分辨出来?
MVC Html.AntiForgeryToken() 防止CSRF攻击
热门推荐
cpytiger的专栏
04-10 4万+
(一)MVC Html.AntiForgeryToken() 防止CSRF攻击 MVC的Html.AntiForgeryToken()是用来防止跨站请求伪造(CSRF:Cross-site request forgery)攻击的一个措施,它跟XSS(XSS又叫CSS:Cross-Site-Script),攻击不同,XSS一般是利用站内信任的用户在网站内插入恶意的脚本代码进行攻击,而CSRF则是
asp.net mvc如何引用控制器
最新发布
07-15
2. 使用控制器的默认路由:ASP.NET MVC 使用默认路由配置来映射 URL 路径到控制器和动作方法。默认路由的格式为 `{controller}/{action}/{id}`。因此,你可以通过在 URL 指定控制器的名称来引用相应的控制器。例如...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值