Lif*_*ipt 11 asp.net-mvc asp.net-mvc-3 asp.net-mvc-4
First of all I'm still a starter in MVC4, after noticing many actions are decorated with [ValidateAntiForgeryToken], I googled that, but still kind of confused.
Can anybody explain that concept using a simplest example?
And*_*bal 17
简单来说,它可以防止外部帖子请求.因此,没有人可以使用其他网站的方法.
这个怎么运作.您有AntiForgeryToken您Html.BeginForm的视图.
@using (Html.BeginForm()){
@Html.AntiForgeryToken()
//** fields of form
}
提交表单时,您将数据发送到Controller方法.如果method具有ValidateAntiForgeryToken属性,则验证您发送的数据是否具有ForgeryToken.
[ValidateAntiForgeryToken]
public ViewResult Update()
{
}
每个会话生成一次ForgeryToken.
关于AntiForgeryToken的大量信息:http://blog.codeville.net/2008/09/01/prevent-cross-site-request-forgery-csrf-using-aspnet-mvcs-antiforgerytoken-helper/
这是为了防止跨站请求伪造(CSRF).单击"保存"汇总表单并在服务器上执行某些操作,即保存用户的详细信息,这是非常标准的行为.您如何知道提交表单的用户是他们声称的用户?在大多数情况下,您可以使用一些cookie或基于Windows的身份验证.
如果攻击者将您引诱到一个在隐藏的IFRAME中提交完全相同形式的网站,该怎么办?您的cookie完整提交,服务器看不到请求与合法请求有任何不同.(正如gmail发现的那样:http://www.gnucitizen.org/blog/google-gmail-e-mail-hijack-technique/)
防伪令牌通过在每次生成页面时创建额外的cookie令牌来防止这种形式的攻击.令牌都在表单和cookie中,如果表单和cookie不匹配,我们会有CSRF攻击(因为攻击者无法使用上述攻击读取防伪令牌).
从上面的文章中,盐的作用是什么:
Salt只是一个随意的字符串.不同的盐值意味着将生成不同的防伪标记.这意味着即使攻击者设法以某种方式获得有效令牌,他们也无法在需要不同盐值的应用程序的其他部分重用它.
令牌是如何生成的?下载源代码,看看AntiForgeryDataSerializer,AntiForgeryData类.这有重复.
| 归档时间: |
|
| 查看次数: |
23657 次 |
| 最近记录: |