那些遇到过的问题

如何保护我的JsonResult GET调用?

Pet*_*r J 5 asp.net-mvc jquery csrf

我知道如何使用MVC的AntiForgeryToken属性以及它的关联HTML帮助程序来帮助XSRF保护我的应用程序的表单POST.

可以为实现GET的JsonResults做类似的事情吗?

例如,我的View包含一个onSubmit jQuery调用,如下所示:

$.getJSON("/allowActivity/YesOrNo/" + someFormValue, "{}", function(data) {
  if(data.Allow) {
    //Do something.
  }
});
Run Code Online (Sandbox Code Playgroud)

我想确定这个JsonResult只能从目标页面调用.

编辑:

我发现这个帖子关于一个类似的问题,没有具体的答案.

确保我的GET(非破坏性)URL仅由我自己的页面中的AJAX调用消耗的最简单方法是什么?

oll*_*ant 8

您可以将AntiForgeryToken与一些自定义逻辑结合使用.在服务器上创建AntiForgery令牌是相同的,但默认情况下,该值不包含在您的XmlHttpRequest中.

此令牌的值位于仅HTTP的cookie"__RequestVerificationToken"中,并且还应该以发布到服务器的表单数据的形式出现.因此,在XmlHttpRequest中包含一个键/值对,并在控制器上使用ValidateAntiForgeryToken - 属性

编辑:

今天我尝试自己使用AntiForgeryToken进行Ajax请求,它运行正常.只需使用以下javascript:

$.post('my_url',  $.getAntiForgeryTokenString(), function() { ... });

$.getAntiForgeryTokenString = function() {
    return $(document.getElementsByName("__RequestVerificationToken")).fieldSerialize();
};
Run Code Online (Sandbox Code Playgroud)

在服务器端,您不必更改代码 - 只需使用ValidateAntiForgeryToken-属性即可.

希望这可以帮助

归档时间:

查看次数:

2083 次

最近记录:

14 年,1 月 前
相关归档
jQuery将div作为特定索引插入 70
MVC RequireHttps整个网站 62
如何从WordPress的前端删除jquery? 31
在进度条上关闭Bootstrap的CSS3过渡 24
如何将NUnit作为ASP.NET MVC的测试框架选项添加到Visual Web Developer 2008 Express? 19
jquery转"on"和"off"事件处理程序 19
如何将焦点设置为文本框Html.TextBoxFor - mvc 2 15
用于从lambda表达式访问属性的HtmlHelper方法之间的区别 11
VS2017中ASP.NET Web应用程序中的本地函数编译器错误 7
如何在进行AJAX后设置角度为X-XSRF-TOKEN 5
难疑归档
在JavaScript中创建GUID/UUID? 3915
如何通过引用传递变量? 2480
如何动态合并两个JavaScript对象的属性? 2338
如何在Git中完全替换另一个分支中的master分支? 1549
.gitignore被Git忽略了 1407
application/x-www-form-urlencoded或multipart/form-data? 1268
如何使用自定义对象对NSMutableArray进行排序? 1253
npm在没有sudo的情况下抛出错误 1218
如何查看仅一个用户提交的git日志? 1178
如何向给定元素添加类? 1109