那些遇到过的问题

如何设置AntiForgeryToken cookie路径

fel*_*ckz 6 asp.net-mvc csrf antiforgerytoken cookie-path asp.net-mvc-5.2

不推荐使用允许覆盖它的以前的HtmlHelper.AntiForgeryToken方法string path.

[ObsoleteAttribute("This method is deprecated. Use the AntiForgeryToken() method instead. To specify a custom domain for the generated cookie, use the <httpCookies> configuration element. To specify custom data to be embedded within the token, use the static AntiForgeryConfig.AdditionalDataProvider property.", 
    true)]
public MvcHtmlString AntiForgeryToken(
    string salt,
    string domain,
    string path
)
Run Code Online (Sandbox Code Playgroud)

告诉你使用<httpCookies>.但httpCookies元素没有PATH的设置.

这是对这种方法的弃用的疏忽吗?覆盖此cookie路径的最佳方法是什么?(手动?)在虚拟应用程序中运行网站不会隐式地将应用程序路径添加到__RequestVeririfcation cookie.

小智 3

查看弃用消息:

“此方法已弃用。请改用 AntiForgeryToken() 方法。要为生成的 cookie 指定自定义域,请使用配置元素。要指定要嵌入到令牌中的自定义数据,请使用静态 AntiForgeryConfig.AdditionalDataProvider 属性。”

它告诉我们,只要读回伪造令牌,我们就可以验证其他参数。因此,即使我们无法在 cookie 中设置路径,我们也可以将路径设置为令牌内的属性。稍后验证它,例如:

public class AdditionalDataProvider : IAntiForgeryAdditionalDataProvider
{
    public string GetAdditionalData(HttpContextBase context)
    {
        return AdditionalData(context);
    }

    public bool ValidateAdditionalData(HttpContextBase context, string additionalData)
    {
        var currentData = AdditionalData(context);
        return currentData == additionalData;
    }

    private static string AdditionalData(HttpContextBase context)
    {
        var path = context.Request.ApplicationPath;
        return path;
    }
}
Run Code Online (Sandbox Code Playgroud)

当 asp.net 生成令牌时,它将存储该应用程序的当前路径(或您想要验证的任何其他唯一值),并且如果您有另一个应用程序在不同的路径上运行,当令牌发送到该应用程序时(由于缺少 cookie 路径)它将根据该应用程序的属性验证以前的应用程序属性。如果它是一组不同的属性,它将失败并拒绝请求。

此外,查看AntiforgeryConfig.cs的代码,如果应用程序在虚拟目录中运行,则默认情况下它将在 cookie 名称中添加该虚拟目录:

private static string GetAntiForgeryCookieName()
{
    return GetAntiForgeryCookieName(HttpRuntime.AppDomainAppVirtualPath);
}

// If the app path is provided, we're generating a cookie name rather than a field name, and the cookie names should
// be unique so that a development server cookie and an IIS cookie - both running on localhost - don't stomp on
// each other.
internal static string GetAntiForgeryCookieName(string appPath)
{
    if (String.IsNullOrEmpty(appPath) || appPath == "/")
    {
        return AntiForgeryTokenFieldName;
    }
    else
    {
        return AntiForgeryTokenFieldName + "_" + HttpServerUtility.UrlTokenEncode(Encoding.UTF8.GetBytes(appPath));
    }
}
Run Code Online (Sandbox Code Playgroud)

所以它会是这样的: _RequestVerificationToken vs _RequestVerificationToken _L2RIdjAz0

这意味着 App2 虽然可以从 App1 接收令牌,但它无法读取它们,因为它将始终仅查找 App2 验证令牌。

华泰

归档时间:

查看次数:

2322 次

最近记录:

7 年,5 月 前
检查Cookie是否存在 44
Request.Cookies和Response.Cookies之间的区别 30
更多相关链接
相关归档
自动填充应用值而非标签到文本框 85
胖模型/瘦控制器与服务层 78
一起使用承载令牌和cookie身份验证 65
检测到潜在危险的Request.Form值 23
绑定到ASP.NET MVC中的强类型对象的集合 11
ASP.NET MVC:构造控制器 10
反序列化令牌时抛出异常。无法在 .Net Core 2.2 应用程序中解密防伪令牌 10
我应该何时在ASP.NET MVC中创建一个新的控制器类? 7
提供查询字符串时的.less编译错误 7
具有Retrofit API的x-csrf-tokens 5
难疑归档
如何测试空的JavaScript对象? 2730
我遇到了合并冲突.我怎样才能中止合并? 2391
什么是sleep()的JavaScript版本? 2115
如何在不安装Ms Office的情况下在C#中创建Excel(.XLS和.XLSX)文件? 1804
如何在所有浏览器中控制网页缓存? 1474
如何检查iOS或macOS上的活动Internet连接? 1309
是否有"以前的兄弟"CSS选择器? 1253
visibility:hidden和display:none之间有什么区别? 1121
Python类继承对象 1095
如何在JavaScript中创建二维数组? 1081