MVC安全:ajax表单提交切记加上AntiForgeryToken防止跨站请求伪造 (CSRF)攻击

最新推荐文章于 2023-10-27 16:40:35 发布
最新推荐文章于 2023-10-27 16:40:35 发布
阅读量439 收藏
点赞数
分类专栏: MVC

因为项目使用的是mvc的框架,前端使用的是metronic bootstrap框架,所以在处理表单的提交时就用了ajax的方式进行提交,这样前端js也方便封装,实现代码复用。

先看看js端的相关代码


下面是ajax部分代码

然后我们来看看后台控制中情况


        如图,需要在新增和修改的方法上面加上两个修饰属性 [HttpPost]和[MyValidateAntiForgeryToken]。第一个好理解,因为ajax使用的post方式传参;那第二个?接着向下看,这是一个自定义的过滤器。需要在App_Start文件夹下新建类并继承AuthorizeAttribute类,且重写方法OnAuthorization实现验证工作。如下

    你是不是觉得大功告成了呢?还需要关键的一步,就是在html中的form下添加@Html.AntiForgeryToken(),之前在网上搜索的结果是这个@Html.AntiForgeryToken()被放在了js中,总是不对,后来放在html中发现就没有任何的问题了!!
--------------------- 
作者:寒冰屋 
来源:CSDN 
原文:https://blog.csdn.net/mzl87/article/details/79698451 
版权声明:本文为博主原创文章,转载请附上博文链接!

【Help】
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浅谈ASP.NET MVC 防止跨站请求伪造(CSRF)攻击的实现方法
10-18
在*** MVC开发中,防范跨站请求伪造(Cross-Site Request Forgery,简称CSRF攻击是一项重要的安全任务。CSRF攻击利用了网站对于用户浏览器的信任,诱使用户在已认证的状态下向受信任网站发送非预期的请求攻击者...
ajax 伪造请求,如何通过Ajax post防止跨站请求伪造
weixin_35934037的博客
08-06 376
我在Mvc项目中有一个带有AntiforgeryToken()值的窗体。当提交表格时,它将与MvC项目中的相应控制器进行验证后行动ValidateAntiforgeryToken。如何通过Ajax post防止跨站请求伪造?到确认页面。在具有隐藏表单的两个按钮的确认中,这将会与前面的上述相同的Post操作进行。我在这两个隐藏表单中添加了Html.Antiforgerytoken()。点击按钮时,...
asp.net 网站 防止CSRF攻击 使用 ValidateAntiForgeryToken
LYBWWP
10-21 602
一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。 三.CSRF漏洞现状   
MVC Html.AntiForgeryToken() 防止CSRF攻击
weixin_33863087的博客
03-30 81
为什么80%的码农都做不了架构师?>>> ...
c mvc ajax 删除,asp.net mvc与asp.net core Ajax删除操作delete中带ValidateAntiForgeryToken实例...
weixin_29586571的博客
08-06 227
ValidateAntiForgeryToken ajax[ValidateAntiForgeryToken]为防止CSRF,asp.net core会在form中自动注入一个隐藏域防止攻击自动加入:或者使用beginform自动加入隐藏域@using (Html.BeginForm("ChangePassword", "Manage")){...}或手动加入:@Html.AntiForgeryT...
.net mvc @html.antiforgerytoken(),aspnet mvc使用@Html.AntiForgeryToken()防止跨站攻击
weixin_39901213的博客
06-20 556
asp.net mvc中Html.AntiForgeryToken()可以防止跨站请求伪造攻击,它跟XSS(XSS又叫CSS:Cross-Site-Script),攻击不同,XSS一般是利用站内信任的用户在网站内插入恶意的脚本代码进行攻击,而CSRF则是伪造成受信任用户对网站进行攻击。举个简单例子,譬如整个系统的公告在网站首页显示,而这个公告是从后台提交的,我用最简单的写法:网站后台(Home/I...
网络安全原理与应用:跨站请求伪造CSRF攻击演示.pptx
05-16
跨站请求伪造CSRF攻击演示;;跨站请求伪造CSRF攻击演示;跨站请求伪造CSRF攻击演示;跨站请求伪造CSRF攻击演示;跨站请求伪造CSRF攻击演示;跨站请求伪造CSRF攻击演示;跨站请求伪造CSRF攻击演示;跨站请求伪造CSRF攻击演示...
Tomcat怎样防止跨站请求伪造(CSRF) 1
08-08
Tomcat 防止跨站请求伪造CSRF)机制浅析 在 Web 应用开发中,跨站请求伪造CSRF)是一种常见的安全威胁。跨站请求伪造攻击是指攻击者诱骗受信任用户访问恶意网站,从而使得恶意网站能以用户身份对受信任网站执行...
网络安全原理与应用:跨站请求伪造CSRF简介.pptx
05-16
跨站请求伪造CSRF,Cross-site request forgery)是一种针对Web应用的攻击方式,它利用了用户浏览器的隐式身份验证机制,即Cookie。CSRF攻击跨站脚本(XSS)不同,XSS主要针对的是站点内部的信任用户,而CSRF则...
.NET MVC Iframe 'X-Frame-Options' to 'SAMEORIGIN' 解决办法
feng005211的专栏
01-07 1万+
今天做到两个系统的登录,想使用淘宝的办法,做个Iframe登录框,保持信息一致。 然后出现了Refused to display 'http://xxx.xxx.com' in a frame because it set 'X-Frame-Options' to 'SAMEORIGIN'. 证明此页面不能被Iframe,因为以前处理过此情况(当初走了特别多的弯路)
ASP.NET MVC4/5 - Ajax 防止 CSRF攻击
weixin_30660027的博客
12-24 244
前言 CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。本文使用ASP.NET MVC提供的AntiForgery进行安全验证 应用 一、自定义FilterAttribute过滤器 1 /// <summary&...
X-FRAME-OPTIONS 出现两个或多个的原因
Teemo_2016的博客
08-25 5843
在配置文件中配置了  &lt;httpProtocol&gt;      &lt;customHeaders&gt;         &lt;add name="X-Frame-Options" value="DENY" /&gt;       &lt;/customHeaders&gt;     &lt;/httpProtocol&gt; 但是发现页面中包含了两个X-FRAME-OP
.NET MVC5专题(控制器前后端交互的一些特性和注意事项)
一点一滴
01-12 1万+
/// 一个HttpGet 一次HttpPost /// MVC怎么识别呢?不能依赖于参数识别(参数来源太多不稳定) /// 必须通过HttpVerbs来识别, /// 如果没有标记,那么就用方法名称来识别 /// [ChildActionOnly] 用来指定该Action不能被单独请求,只能是子请求 /// [Bind]指定只从前端接收哪些字段,其他的不要,防止数据的额外提交 /// [Va...
所需的防伪表单字段“__RequestVerificationToken”不存在
weixin_30375247的博客
05-02 2061
错误提示为:所需的防伪表单字段“__RequestVerificationToken”不存在。 <%:Html.AntiForgeryToken()%> 在mvc4中的写法 @Html.AntiForgeryToken(); 当在view中没有写而action上有写时也报上述错误。 当请求为get时也报上述错误。 只是在view中有写而action上没有写 [ValidateAn...
ASP.NET MVC AJAX 请求中加入 antiforgerytoken 解决“所需的防伪表单字段“__RequestVerificationToken”不存在”问题...
dianbian4042的博客
09-03 1023
在ASP.NET mvc中如果在表中使用了@Html.AntiForgeryToken(),ajax post不会请求成功 解决方法是在ajax中加入__RequestVerificationToken: function Like(id) { // 获取form表单 var form = $('form'); // 获取token var token = $('input[name...
Nginx 丢失Cookies问题。所需的防伪表单字段“__RequestVerificationToken”不存在
最新发布
上善若水
10-27 570
所需的防伪表单字段“__RequestVerificationToken”不存在。
axios发送请求,后端报错:所需的防伪表单字段“__RequestVerificationToken”不存在
高彬的专栏
04-23 2098
后端使用.net mvc开发,前端使用axios发送post请求遇到错误:所需的防伪表单字段“__RequestVerificationToken”不存在。 看到此提示我们知道原因是:MVC跨站攻击CSRF安全机制获取不到__RequestVerificationToken。但是不知道axios如何传参才能拿后端的安全机制获取到,百度各种搜索半天后扔未果,后来想办法 google,秒获答案 (谷歌真不是吹的,牛!!),虽然不是正面解决,但解决方案依然很满意 、很优秀,解决方法如下: 1、新建一个过
关于CSRF攻击mvc中的解决方案 [ValidateAntiForgeryToken]
热门推荐
码过烟云
12-05 2万+
一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚
东南大学网络空间安全实验:跨站请求伪造(CSRF)攻防解析
这篇资源主要涉及的是网络安全领域中的一个重要概念——跨站请求伪造(Cross-Site Request Forgery, CSRF攻击,这是一种允许攻击者通过利用用户的已登录状态,强制执行非用户意愿的操作的安全威胁。实验内容分为四...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值