.net core 一个避免跨站请求的中间件

最新推荐文章于 2024-01-04 10:04:31 发布
最新推荐文章于 2024-01-04 10:04:31 发布
阅读量149 收藏
点赞数
原文链接:http://www.cnblogs.com/qulianqing/p/7757728.html
版权

前提:

      前几天看到博客园首页中有这么一篇文章:跨站请求伪造(CSRF),刚好前段时间自己一直也在搞这个东西,后来觉得每次在form表单里添加一个@Html.AntiForgeryToken,在对应的方法上添加特性[ValidateAntiForgeryToken],很是麻烦,于是自己动手写了一个全局的中间件,只要是post请求就会生成一个表单验证的token。

        话不多说,上代码;

      核心代码:

 1     public class GlobalValidateMiddleTool
 2     {
 3         private RequestDelegate _requestDelete;
 4         private IAntiforgery _antiforgery;
 5         public GlobalValidateMiddleTool(RequestDelegate requestDelegate,IAntiforgery antiforgery)
 6         {
 7             _requestDelete = requestDelegate;
 8             _antiforgery = antiforgery;
 9         }
10         public async Task Invoke(HttpContext context)
11         {
12             if (context.Request.Method.ToLower() == "post")
13             {
14                 await _antiforgery.ValidateRequestAsync(context);
15             }
16             await _requestDelete(context);
17         }
18     }

 

一个拓展方法:

1     public static class IapplicationExt
2     {
3         public static IApplicationBuilder UseGlobalTokenValidate(this IApplicationBuilder app)
4         {
5             return app.UseMiddleware<GlobalValidateMiddleTool>();
6         }
7     }

使用方法:

app.UseGlobalTokenValidate();

验证一下,写了一个form表单

<form asp-action="about" method="post">
    <input type="text" id="data" name="data" />
    <input type="submit" value="test" />
</form>

对应的action 

        [HttpPost]
        public IActionResult About(string data)
        {
            if (ModelState.IsValid)
            {
                return Json(data);
            }
            return NotFound();
        }

界面:

表单中填写test 点击提交按钮

 

 返回结果:

这样就表示我们的这个中间件生效了。

转载于:https://www.cnblogs.com/qulianqing/p/7757728.html

weixin_30598225
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
.net core xss攻击防御的方法
01-03
XSS攻击全称跨站脚本攻击 ,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 比如我们在表单提交的时候插入脚本代码 如果不进行处理,那么就是这种效果,我这里只是演示一个简单的弹窗 下面给大家分享一下我的解决方案。 需要用到这个库:HtmlSanitizer https://github.com/mganss/HtmlSanitizer 新建一个过滤类。 public class XSS { priva
如何给asp.net core写个中间件记录接口耗时
01-21
asp.net core 的运行是一个一个中间件来完成的,因此我们只需要定义自己的中间件,记录请求开始处理前的时间和处理结束后的时间,这里的中间件请求的耗时输出到日志里了,你也可以根据需要输出到响应头或其他...
Asp.net core & Vue 第一个项目
『程序员·小李』的博客
06-13 2487
1. 创建Asp.net core WebAPI项目 Web Application包括WebAPI与MVC项目。在Asp.net Core中已经开始共用了。 使用最新版本2.2,创建API项目,至于Docker及Https暂时忽略即可。 2. 路由名称的作用 这个特性路由的Name字段用于标志一串路由地址。 需要根据名称获取路由地址的时候就方便多了。 ......
.Net Core 防止跨站请求伪造
weixin_30723433的博客
05-21 237
一、在From表单中生成antiforgery 令牌     1.ASP.NET Core MVC 和 Razor 页模板中的窗体的所有生成 antiforgery 令牌,唯一且不可预测。服务器先发送到客户端的当前用户的标识相关联的令牌。客户端返回将令牌发送到服务器进行验证。如果服务器收到与经过身份验证的用户的标识不匹配的令牌,将拒绝请求。 <body> &lt...
在 Asp.Net Core WebAPI 中防御跨站请求伪造攻击
dotNET跨平台
06-28 1589
什么是跨站请求伪造跨站请求伪造(英语:Cross-site request forgery),也被称为one-click attack或者session ridin...
谈谈ASP.NET Core MVC中预防跨站脚本攻击(xss)与跨站请求伪造(CSRF)
覃鸿宇的博客
02-28 1283
XSS Cross-Site Scripting 跨站脚本攻击:攻击者将客户端脚本注入到其他用户查看的网页中。 不被信任的数据: • HTML input • HTTP Headers • Query strings • Attributes,EXIF 信息 防止 XSS • HTML Encoding:> 变成 > < 变成 < • Razor 默认开启了 HTML...
asp net core mvc 跨域ajax解决方案
极客神殿
02-03 394
1、配置服务端 在Startup文件中配置Cors策略: IEnumerable<Client> clients= Configuration.GetSection("Clients").Get(typeof(IEnumerable<Client>)) as IEnumerable<Client>; List<string> urls = new List<string>(); foreach (v
.net core webapi通过中间件获取请求和响应内容的方法
01-02
本文主要根据中间件来实现对.net core webapi中产生的请求和响应数据进行获取并存入日志文件中; 这里不详细介绍日志文件的使用。你可以自己接入NLog,log4net,Exceptionless等 创建接口记录的中间件 using ...
ASP.NET Core中间件计算Http请求时间示例详解
01-01
可将一个单独的请求委托并行指定为匿名方法(称为并行中间件),或在类中对其进行定义。可通过Use,或在Middleware类中配置要传递给委托执行的方法(参数类型HttpContext,返回值类型Task)。 public static ...
【ASP.NET编程知识】ASP.NET Core中间件计算Http请求时间示例详解.docx
05-15
在ASP.NET Core中,中间件扮演着至关重要的角色,它是一个处理HTTP请求和响应的组件,按顺序执行,形成一个请求处理管道。本篇文章将深入讲解如何在ASP.NET Core中编写中间件来计算HTTP请求的处理时间。 首先,我们...
.NET CORE防止CSRF跨站请求伪造
qq_18932003的博客
08-28 248
可以加特性ValidateAntiForgeryToken实现,还可以配合一个ActionName 比如微软.NET CORE官方的一个案例中 [HttpGet,ActionName("Delete")] [ValidateAntiForgeryToken] publicasyncTask<IActionResult>DeleteConfirmed(intid) { varstudent=await_context.Students.FindA...
NET CORE 防止跨站请求伪造(XSRF/CSRF)攻击处理
chengmodelong的专栏
02-17 1339
什么是跨站请求伪造(XSRF/CSRF) 在继续之前如果不给你讲一下什么是跨站请求伪造(XSRF/CSRF)的话可能你会很懵逼,我为什么要了解这个,不处理又有什么问题呢? CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站...
修改了claimsIdentity的值,添加ValidateAntiForgeryToken标签后,无法访问controller,返回400
liangyely的博客
06-19 1213
原因是页面修改了claimsIdentity的值,但是服务器里面还是原来的值,必须重新 HttpContext.SignInAsync一次才能使claimsIdentity服务器端跟客户端一致。
NetCore Webapi XSRF/CSRF 跨站请求伪造过滤中间件
最新发布
csdn_aspnet的专栏
01-04 1507
Token验证:通过在每个请求中包含一个随机生成的令牌,并在服务器端验证该令牌的有效性,可以防止CSRF攻击。在.NET Core中,可以使用`[ValidateAntiForgeryToken]`属性来自动验证令牌,或者使用`IAntiforgery`服务手动验证令牌。如果验证失败,将抛出异常,请求将被终止。SameSite Cookie属性:在设置cookie时,可以通过将`SameSite`属性设置为`Strict`或`Lax`来限制cookie的跨站点行为,从而减少XSRF攻击的可能性。
.net core 中如何有效屏蔽重复提交
主宰
10-20 1938
一.咨询区 Guilherme Ferreira: 我通过 post 方式向我的一个webapi中提交数据,然后插入到数据库中,在 ui端,当用户点击某一个 button 之后,代码会将 button 禁用,但因为某些原因,点击按钮的速度比禁用按钮的函数还要快,这就造成了post两次的情况,也就插入了两条同样的数据。 在客户端我用 axios 来做 post 提交,请问我如何在 server 端规避这种事情? 二.回答区 Christian Gollhardt: 前段时间刚好遇到了这个场景
Asp.net Core Mvc基础-学习笔记
GoSantiago的博客
12-18 562
ASP.NET CORE MVC 1. 默认配置 使用Kestrel Web Server ASP.NET Core内置,跨平台 IIS集成 UseIIS(),UseIISIntegration() Log IConfiguration接口 2. 路由 Convertional Routing 使用默认的方式builder.MapRoute("Default", "...
.net mvc中的跨域请求
sorrysir_的博客
03-02 497
1.先说说为什么需要跨域 在我们实际开发是有各种原因会从别的服务器来请求数据,因为浏览器的同源规则导致不能直接访问(同源规则:协议 域名 端口 相同 ) 解决方法 1.在web.config中配置webserver <!--解决跨域--> <system.webServer> <httpProtocol> <customHeaders> <add name="Access-Control-
.NET Core MVC 跨域请求 实验案例
weixin_54629917的博客
08-26 721
我的.net core 学习记录
ajax的AntiForgery和Authorize 以及ajax登录例子
ashcn2001的博客
11-30 3151
现有的mvc无法用无刷的形式来对数据进行验证 特别是对于ajax 进行数据访问,如果是机密信息则有很大的风险。现在可以用自定义attribute的方法来加入针对数据信息验证。针对AntiForgery的验证方法attrbute属性的定义 [AttributeUsage(AttributeTargets.Class)] public class ValidateAntiForgeryTo

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值