MVC防止xss攻击 ——Html.AntiForgeryToken的AJAX提交

最新推荐文章于 2021-08-05 20:34:54 发布
最新推荐文章于 2021-08-05 20:34:54 发布
阅读量117 收藏
点赞数
原文链接:http://www.cnblogs.com/l1pe1/p/6030841.html
版权

1、在Html表单里面使用了@Html.AntiForgeryToken()就可以阻止CSRF攻击。

2、相应的我们要在Controller中也要加入[ValidateAntiForgeryToken]过滤特性。该特性表示检测服务器请求是否被篡改。注意:该特性只能用于post请求,get请求无效。

3、至于JS,我们的项目中引用的是<script src="@Url.Content("~/Content/js/jqueryToken-1.4.2.js")" type="text/JavaScript"></script>

在JS时要使用: $.ajaxAntiForgery才行,
如:
 $.ajaxAntiForgery({
            type: "post",
            data: { GroupName: $("#GroupName").val(), GroupPhones: $("#GroupPhones").val() },
            dataType: "json",
            url: "/Event/Mass/AddGroup",
            success: function (data) {
                if (data) {

                    alert("添加成功 ");
                    $.unblockUI();
                }
                else {
                    alert("添加失败 ");
                }
         }
 })

注:对数据进行增删改时要防止csrf攻击!

另外一种方式

 

public class HomeController : Controller
{
    public ActionResult Index()
    {
        return View();
    }

    [HttpPost]
    [ValidateAntiForgeryToken]
    public ActionResult Index(string someValue)
    {
        return Json(new { someValue = someValue });
    }
}

 

@using (Html.BeginForm(null, null, FormMethod.Post, new { id = "__AjaxAntiForgeryForm" }))
{
    @Html.AntiForgeryToken()
}

<div id="myDiv" data-url="@Url.Action("Index", "Home")">
    Click me to send an AJAX request to a controller action
    decorated with the [ValidateAntiForgeryToken] attribute
</div>

<script type="text/javascript">
    $('#myDiv').submit(function () {
        var form = $('#__AjaxAntiForgeryForm');
        var token = $('input[name="__RequestVerificationToken"]', form).val();
        $.ajax({
            url: $(this).data('url'),
            type: 'POST',
            data: { 
                __RequestVerificationToken: token, 
                someValue: 'some value' 
            },
            success: function (result) {
                alert(result.someValue);
            }
        });
        return false;
    });
</script>

 

转载于:https://www.cnblogs.com/l1pe1/p/6030841.html

weixin_30784141
关注
Html.AntiForgeryToken() 防止CSRF攻击 的AJaX应用
dz45693的专栏
11-21 4155
有关Html.AntiForgeryToken()的使用其实网上的说明很多了,比如http://blog.csdn.net/cpytiger/article/details/8781457 那么我们写的AJAX调用怎么办了,难道需要修改所有的ajax请求数据吗?我个人比较懒惰喜欢写一个通用的代码.其实原理很简单就是拦截ajax请求,然后追加自己的数据.注意在ajax传输数据的时候可以
MVC Html.AntiForgeryToken() 防止CSRF攻击
热门推荐
cpytiger的专栏
04-10 4万+
(一)MVC Html.AntiForgeryToken() 防止CSRF攻击 MVC中的Html.AntiForgeryToken()是用来防止跨站请求伪造(CSRF:Cross-site request forgery)攻击的一个措施,它跟XSS(XSS又叫CSS:Cross-Site-Script),攻击不同,XSS一般是利用站内信任的用户在网站内插入恶意的脚本代码进行攻击,而CSRF则是
mvc html.antiforgerytoken,MVC防止xss攻击 ——Html.AntiForgeryTokenAJAX提交
weixin_28931559的博客
06-16 139
1、在Html表单里面使用了@Html.AntiForgeryToken()就可以阻止CSRF攻击。2、相应的我们要在Controller中也要加入[ValidateAntiForgeryToken]过滤特性。该特性表示检测服务器请求是否被篡改。注意:该特性只能用于post请求,get请求无效。3、至于JS,我们的项目中引用的是在JS时要使用: $.ajaxAntiForgery才行,如:$.aj...
@Html.AntiForgeryToken() 源码分析,表单防伪码的生成
weixin_30430169的博客
01-17 850
源码来自MVC4@Html.AntiForgeryToken() 源码分析 public MvcHtmlString AntiForgeryToken() { return new MvcHtmlString(AntiForgery.GetHtml().ToString()); } AntiForgery源自System.Web.Helpers.AntiForgery ...
MVC防止跨站攻击@Html.AntiForgeryToken()
weixin_30421809的博客
06-05 201
ASP.NET MVC 中有个标签:@Html.AntiForgeryToken(),需要在页面中加入这个标签,然后在Actoin中加入特性[ValidateAntiForgeryToken]就可以了。 参考:https://www.cnblogs.com/liangdaye/p/4511268.html 转载于:https://www.cnblogs.com/xsj1989/p/9...
ASP.NET源码——[论坛社区]bbsmax 4.0.4.zip
10-10
论坛系统需要保护用户数据的安全,防止SQL注入、XSS攻击等安全问题。ASP.NET提供了多种安全措施,如输入验证、输出编码和AntiForgeryToken等,BbsMax在开发过程中应遵循最佳实践,确保系统安全。 7. 扩展性和可维护...
ASP.NET源码——[论坛社区]skagh论坛程序.zip
10-10
9. **安全考虑**:论坛程序需要防止SQL注入、XSS攻击等网络安全问题,ASP.NET提供了一些内置的安全特性,如参数化查询、AntiForgeryToken等,开发者还需要确保正确处理用户输入。 10. **部署与配置**:最后,论坛...
ASP.NET源码——[新闻文章]三迪新闻系统.zip
10-10
10. **安全性**:考虑到网站安全,系统应具备防止SQL注入、跨站脚本攻击(XSS)等常见威胁的措施,可能使用了ASP.NET的安全特性,如AntiForgeryToken、验证控件等。 综上所述,【新闻文章】三迪新闻系统是一个结合...
ASP.NET源码——[学校班级]在线考试系统源码.zip
10-10
5. **安全性考虑**:防止SQL注入、XSS攻击使用AntiForgeryToken防止跨站请求伪造。 6. **缓存策略**:使用缓存减少数据库压力,如内存缓存、Redis等。 源码分析可以帮助我们深入理解系统的内部工作原理,提升开发...
ASP.NET源码——[论坛社区]Comblog 多用户论坛.zip
10-10
9. **安全性与防护**:为了保护用户数据和系统安全,Comblog 论坛可能采取了防止SQL注入、XSS攻击等措施,利用ASP.NET 提供的安全性特性如AntiForgeryToken、验证控件等。 10. **缓存机制**:为了提高性能,论坛...
jquery1.4.2-1.8.2
10-23
Jquery是一个优秀的Javascrīpt框架。是轻量级的js库,它兼容CSS3,还兼容各种浏览器 (IE 6.0+, FF 1.5+, Safari 2.0+, Opera 9.0+)。jQuery使用户能更方便地处理HTML documents、events、实现动画效果,并且方便地为网站提供AJAX交互。jQuery设计宗旨就是写更少的代码,做更多的事
.net mvc @html.antiforgerytoken(),aspnet mvc使用@Html.AntiForgeryToken()防止跨站攻击
weixin_39901213的博客
06-20 572
asp.net mvcHtml.AntiForgeryToken()可以防止跨站请求伪造攻击,它跟XSS(XSS又叫CSS:Cross-Site-Script),攻击不同,XSS一般是利用站内信任的用户在网站内插入恶意的脚本代码进行攻击,而CSRF则是伪造成受信任用户对网站进行攻击。举个简单例子,譬如整个系统的公告在网站首页显示,而这个公告是从后台提交的,我用最简单的写法:网站后台(Home/I...
MVC Anti-XSS方案
mituan1234567的专栏
06-11 510
http://blog.csdn.net/cassaba/article/details/21094011 XSS攻击是用户提交到服务器的数据包含恶意JavaScript脚本,如果这种数据在存储或显示的时候不加处理,那么其它用户访问页面的时候,这些脚本可能被执行,轻则导致页面无法正常使用,重则导致重要信息泄露。     开发Web应用程序,需要从全局考虑这个问题,采取一致的处理方式,在
使用antixss防御xss
收集盒 Book box
08-02 840
本文摘要 AntiXSS,由微软推出的用于防止XSS攻击的一个类库,可实现输入白名单机制和输出转义  AntiXSS,由微软推出的用于防止XSS攻击的一个类库,可实现输入白名单机制和输出转义 文章最后有antixx演示工程下载   antixss下载地址 http://www.microsoft.com/download/en/details.aspx?id=524
xss springmvc ajax,使用springMVC通过Filter实现防止xss注入
weixin_35466750的博客
08-05 447
springMVC Filter防止xss注入跨站脚本工具(cross 斯特scripting),为不和层叠样式表(cascading style sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往web页面里插入恶意scriptScript代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。防止XSS攻击简单的预防就是对R...
ajax中加上AntiForgeryToken防止CSRF攻击
weixin_34384915的博客
10-16 284
经常看到在项目中ajax post数据到服务器不加防伪标记,造成CSRF攻击 在Asp.net Mvc里加入防伪标记很简单在表单中加入Html.AntiForgeryToken()即可。 Html.AntiForgeryToken()会生成一对加密的字符串,分别存放在Cookies 和 input 中。 我们在ajax post中也带上AntiForgeryToken   @mo...
.NET MVC Iframe 'X-Frame-Options' to 'SAMEORIGIN' 解决办法
feng005211的专栏
01-07 1万+
今天做到两个系统的登录,想使用淘宝的办法,做个Iframe登录框,保持信息一致。 然后出现了Refused to display 'http://xxx.xxx.com' in a frame because it set 'X-Frame-Options' to 'SAMEORIGIN'. 证明此页面不能被Iframe,因为以前处理过此情况(当初走了特别多的弯路)
@html.antiforgerytoken() 原理,如何包括@ Html.AntiForgeryToken()使用删除链接
weixin_36168780的博客
06-03 570
您需要使用Html.AntiForgeryToken助手来设置一个cookie,并发出一个隐藏字段具有相同的值。发送AJAX请求时,您还需要将此值添加到POST数据。所以我会用一个正常的链接,而不是一个Ajax链接:@Html.ActionLink("Delete","Delete","LabTest",new {id = item.LabTestID},new {@class = "delete...
MVC安全:ajax表单提交切记加上AntiForgeryToken防止跨站请求伪造 (CSRF)攻击
寒冰屋的专栏
03-26 4880
        因为项目使用的是mvc的框架,前端使用的是metronic bootstrap框架,所以在处理表单提交时就用了ajax的方式进行提交,这样前端js也方便封装,实现代码复用。先看看js端的相关代码下面是ajax部分代码然后我们来看看后台控制中情况        如图,需要在新增和修改的方法上面加上两个修饰属性 [HttpPost]和[MyValidateAntiForgeryTok...
前端安全实践:深度解析防止XSS攻击策略
防止XSS攻击的关键在于对用户输入的正确处理和验证: 1. 对输入数据进行过滤和转义:对于任何用户提交的数据,应当在插入到HTML页面之前进行转义,例如将尖括号`和`>`转义成`<`和`>`。 2. 使用HTTPOnly ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值