MVC 防止CSRF -- AntiForgeryToken

最新推荐文章于 2018-09-19 16:51:00 发布
最新推荐文章于 2018-09-19 16:51:00 发布
阅读量79 收藏
点赞数
原文链接:http://www.cnblogs.com/pangxiaohai/p/6031263.html
版权

1. 标配版 

Home.cshtml

<form method='POST' action='Home/Subscribe' >
    @Html.AntiForgeryToken()
<input type="email" />
    <input type="submit" value="Subscribe"  />
</form>

HomeController

1 [HttpPost]
2 [ValidateAntiForgeryToken]
4 public ActionResult Subscribe(string email)
5 {
6 }

form method ='POST', @Html.AntiForgeryToken() ,[HttpPost], [ValidateAntiForgeryToken]  缺一不可

原理: 

@Html.AntiForgeryToken() 会在页面生成如下name='__RequestVerificationToken' 的input, value 是随机字符串,每次刷新页面会不一样。 如下

 

1 <input name="__RequestVerificationToken" value="cMNPTS8iRvJuznErspwm+G/vd1Iec0/egpX4j8trlQtvWE9RMiifCd3/eNUzLCoi+m/w4qI2HbqkvHV7Js8WBeFbl3XWVbva4RjE2eSQHu+8xx5391x1W86ZbtSFdZp98h7cV3Dp/9erZjy5p2LO4LKvGEyGW3Dz73YTiNJSTwU=" type="hidden">

 

 

form POST提交会将表单内的数据加入request body , 所以 __RequestVerificationToken 也会在request 中。 同时request 里会有一个 __RequestVerificationToken_lw_ 的cookie, cookie的值是经过加密的,所以会跟页面上取到的值不一样。到了Server 端,[HttpPost]接收POST数据,[ValidateAntiForgeryToken] check request __RequestVerificationToken  和cookie 的值是否一致。如果一致执行Action, 不一致页面提示需要AntiforgeryToken.

2.非标配版

@Html.AntiForgeryToken()不一定放到form里, 但是必须手动把__RequestVerificationToken 值从页面取出放到request里, 从网上查的资料是RequestVerificationToken  可以放到body 和header 里都行, 但我自己试了一下,只有body里起了作用

 

var token = $('[name=__RequestVerificationToken]').val();
var mailAddress=$('.email input').val();
$.ajax({
  type: 'POST',
  url: '/Home/Subscribe',
  cache: false,
  data: { __RequestVerificationToken: token, email: mailAddress },
  dataType: 'json',
  success: function (result) { },
  error: function () {}
});

 

转载于:https://www.cnblogs.com/pangxiaohai/p/6031263.html

weixin_30752699
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MVC中的CSRF解决方案
04-29 136
我们使用Ajax访问请求的时候,攻击者可能盗用了用户身份,以用户合法身份发送恶意请求。 具体预防措施, 1、在Html表单里面使用@Html.AntiForgeryToken(),这玩意会生成一对加密的字符串,分别存放在Cookies 和input 中。   可以获取到,var token = $('@Html.AntiForgeryToken()').val(); 2、在Co...
web安全之token和CSRF攻击
热门推荐
梦空间
05-03 2万+
上文我转载了两篇关于ThinkPHP令牌验证的文章(ThinkPHP中的create方法与自动令牌验证)。其中提及到了  token ,这里针对 token 的作用,转载了另外两篇文章。 (web安全之token   Web安全之CSRF攻击) web安全之token 参考:http://blog.csdn.net/sum_rain/article/details/370
Spring MVC中的CSRF攻击防御
Sunny的专栏
08-05 3870
原文地址:http://moon-walker.iteye.com/blog/2397907,https://www.oschina.net/code/snippet_1029551_27153#45401 此文仅作为当时解决此问题记录 CSRF攻击 CSRF攻击全称为:Cross-site request forgery,直接翻译为:跨站请求伪造。直接看名称还是有点难以理解,容易跟XSS攻...
关于CSRF攻击及mvc中的解决方案 [ValidateAntiForgeryToken]
码过烟云
12-05 2万+
一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚
MVC 当中 [ValidateAntiForgeryToken] 的作用
weixin_30633507的博客
12-02 732
ValidateAntiForgeryToken 防止CSRF(跨网站请求伪造) 用途:防止CSRF(跨网站请求伪造)。 用法:在View->Form表单中:<%:Html.AntiForgeryToken()%> 在Controller->Action动作上:[ValidateAntiForgeryToken] 原理: 1、<...
ASP.NET MVC 防止CSRF攻击
weixin_33739627的博客
09-19 204
简介MVC中的Html.AntiForgeryToken()是用来防止跨站请求伪造(CSRF:Cross-site request forgery)攻击的一个措施,它跟XSS(XSS又叫CSS:Cross-Site-Script),攻击不同,XSS一般是利用站内信任的用户在网站内插入恶意的脚本代码进行攻击,而CSRF则是伪造成受信任用户对网站进行攻击。CSRF可以攻击者盗用了你的身份,以你的名义发...
切记ajax中要带上AntiForgeryToken防止CSRF攻击
12-11
在Asp.net Mvc里加入防伪标记很简单在表单中加入Html.AntiForgeryToken()即可。 Html.AntiForgeryToken()会生成一对加密的字符串,分别存放在Cookies 和 input 中。 我们在ajax post中也带上AntiForgeryToken @...
使用ASP.NET Core,JavaScript和Angular防止CSRF攻击
04-11
在ASP.NET Core、JavaScript和Angular开发的Web应用中,防止CSRF攻击是至关重要的。本文将详细探讨如何在这些技术栈中实施有效的防护措施。 **ASP.NET Core中的CSRF防护** ASP.NET Core提供了一种内置的CSRF防护...
【ASP.NET编程知识】浅谈ASP.NET MVC 防止跨站请求伪造(CSRF)攻击的实现方法.docx
05-21
接着,文章介绍了 ASP.NET MVC防止 CSRF 攻击的方法,包括在 View 中使用 Html.AntiForgeryToken() 方法和在 Controller 中使用 [ValidateAntiForgeryToken] 注解。 CSRF 攻击是指攻击者诱骗用户点击恶意链接或...
anticsrfCSRF预防库的示例用法
02-02
总之,anticsrf库为ASP.NET开发者提供了一种强大而方便的工具来防止CSRF攻击。通过正确地生成和验证CSRF令牌,可以有效地保护用户免受恶意操作的威胁。在实际项目中,理解并熟练运用这些技术至关重要,因为安全始终...
发表评论-资料.rar
03-14
.NET MVC框架提供了内置的安全措施,如AntiForgeryToken防止跨站请求伪造(CSRF)。 9. 分页(Pagination) 当评论数量较大时,通常需要实现分页功能,提高用户体验。.NET MVC可以通过查询参数实现动态分页,同时在视图...
针对 CSRF 漏洞的防范 [c#,html,webform,mvc,,app api]
FeelUps--The more U Give,The More U Have
03-13 6849
最近帮别人“擦屁股”,做了全局CSRF漏洞修复,针对各种表单,作如下分享(html 为通用方法): ############################# 1.webform 这种情况只需加载一个DLL(),配置web.config即可。 //iis6 //iis7 ################
05创建公务卡扣减明细表_CASH_USE_MINUSAMT_DETAIL_20240708-刘君.sql
最新发布
07-19
05创建公务卡扣减明细表_CASH_USE_MINUSAMT_DETAIL_20240708-刘君.sql
【BP回归预测】龙格库塔算法优化BP神经网络RUN-BP光伏数据预测(多输入单输出)【含Matlab源码 5171期】.zip
07-19
CSDN海神之光上传的全部代码均可运行,亲测可用,直接换数据就行,适合小白; 1、代码压缩包内容 主函数:Main .m; 数据; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,可私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开除Main.m的其他m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博主博客文章底部QQ名片; 4.1 CSDN博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 智能优化算法优化BP神经网络分类预测系列程序定制或科研合作方向: 4.4.1 遗传算法GA/蚁群算法ACO优化BP 4.4.2 粒子群算法PSO/蛙跳算法SFLA优化BP 4.4.3 灰狼算法GWO/狼群算法WPA优化BP 4.4.4 鲸鱼算法WOA/麻雀算法SSA优化BP 4.4.5 萤火虫算法FA/差分算法DE优化BP 4.4.6 其他优化算法优化BP
在UCA上结合DOA估计算法和自适应波束形成matlab代码.rar
07-19
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
【信号分解】基于海鸥优化算法SOA-CEEMDAN实现信号去躁附matlab代码.rar
07-19
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
毕业设计javajspKTV包房管理系统(ssh)-qkrp源码含文档
07-19
毕业设计javajspKTV包房管理系统(ssh)-qkrp源码含文档 后台是ssh框架,页面是jsp,数据库mysql,jdk1.8,开发工具用ecplise、myecplise、sts、idea都可以 采用全新的计算机网络和管理系统,将成为提高KTV管理效率,改善服务水准的重要手段之一。所以城市KTV包房信息管理系统是KTV经营不可缺少的现代工具。系统的主要功能包括:会员管理、类别管理、包房管理、预订管理。 包含:源码、数据库脚本、论文、环境工具包、相同框架项目的安装教程(在说明文档中)
基于Springboot的图书管理系统论文
07-19
传统信息管理主要依赖管理人员的手工登记与管理。然而,近年来信息技术的快速进步促使许多陈旧的信息管理方式得以更新。特别是图书信息,因其管理内容复杂且数量庞大,手工处理方式已难以满足广大用户的需求,于是图书管理系统应运而生。 本图书管理系统设有管理员和用户两种权限。管理员负责管理用户基本信息、公告信息及图书信息,并能与用户进行交流等。用户则可以查看图书信息、公告以及管理员的回复等。 该系统采用WEB应用程序开发中流行的小程序结构模式,使用空间占用小但功能全面的MySQL数据库进行数据存储,并运用了JSP技术进行开发。该图书管理系统有效解决了传统手工操作中的诸多问题,如数据查询耗时长、管理步骤繁琐等。总体而言,该图书管理系统性能稳定、功能完备,且具有较高的性价比。
csrf-scanner
12-15
CSRF-Scanner是一种用于检测跨站请求伪造(CSRF)漏洞的工具。CSRF是一种网络安全漏洞,攻击者可以利用它来冒充合法用户向服务器发送恶意请求。CSRF-Scanner通过分析网站的请求和响应,检测潜在的CSRF漏洞,并生成...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值