tnblog
首页
精品
资源
登录
该你吃的苦,生活会一个也不会少,该你获得的幸福,生命早晚都会给你
排名
6
文章
6
粉丝
16
评论
8
{{item.articleTitle}}
{{item.blogName}} : {{item.content}}
ICP备案 :渝ICP备18016597号-1
网站信息:2018-2020TNBLOG.NET
技术交流:群号677373950
欢迎加群交流技术

.NET CORE防止CSRF跨站请求伪造

278人阅读 2020/12/15 17:09 总访问:510001 评论:0 手机 收藏
分类: .NET Core


可以加特性ValidateAntiForgeryToken实现,还可以配合一个ActionName
比如微软.NET CORE官方的一个案例中

[HttpGet, ActionName("Delete")]
[ValidateAntiForgeryToken]
public async Task<IActionResult> DeleteConfirmed(int id)
{
    var student = await _context.Students.FindAsync(id);
    _context.Students.Remove(student);
    await _context.SaveChangesAsync();
    return RedirectToAction(nameof(Index));
}

使用到了它们,你直接访问是访问不到的,直接给你一个404

就是让你强制走正常的流程,必须要是点击确实删除按钮发起的请求才能被正确的响应,或者其他方式发起的请求一律不接受,直接返回404。
对于删除这类操作,可以用一下,不然你得多添加很多验证,要验证删除方法的正确性,验证参数的正确性等等。也是相当于多一层保护,还有对于转账等等业务这块也要特别小心。

它的原理是配合token来实现的,比如访问/Student/Delete的时候生成一个token在前台的隐藏域中,然后当你访问/Student/DeleteConfirmed的时候验证你的token是否有效,就可以知道你的请求是正常流程走的,还是其他途径来的,当然我们可能还会需要配合其他一些辅助手段来完善验证


欢迎加群讨论技术,群号:677373950

评价