nee*_*ebz 28 asp.net-mvc antiforgerytoken
如果答案是肯定的,那么ASP.NET MVC将如何找出哪个令牌链接到哪个表单以及如何验证它?
我已经看到它为每个表单创建两个单独的标记.
Dar*_*rov 27
在这种情况下,您无需具体操作.ASP.NET MVC将简单地为所有表单重用相同的值,因此它不需要知道发送请求的表单以便对其进行验证.只需Html.AntiForgeryToken()在每个表单中放入一个并使用该[ValidateAntiForgeryToken]属性装饰您要发布到的每个控制器操作,您应该没问题.
这里有一篇很棒的文章, 我指出了一些重要的部分。
简而言之,如果可以从请求的 cookie 集合中反序列化令牌,它将重用该令牌而不是生成新的令牌。如果 cookie 集合中不存在令牌,它将实例化一个新的“AntiForgeryToken”实例并随机生成一个新的 16 字节数组来表示令牌。
public AntiForgeryToken GetCookieToken(HttpContextBase httpContext)
{
HttpCookie cookie = httpContext.Request.Cookies[this._config.CookieName];
if (cookie == null || string.IsNullOrEmpty(cookie.Value))
return (AntiForgeryToken) null;
return this._serializer.Deserialize(cookie.Value);
}
生成第一个令牌并将其保存到 cookie 集合后,对辅助方法“Html.AntiForgeryToken()”的所有后续调用都将遵循相同的步骤并重用 cookie 集合中的现有令牌,而不是生成新值。
由于它是会话 cookie,这意味着防伪令牌的值在浏览器会话期间仅生成一次,并在所有后续调用中重复使用。
那么,如果它们重用相同的标记,为什么隐藏字段值彼此不同呢?
因此,虽然加密的值可能看起来不同,但解密的值是相同的。
byte[] one = MachineKey45CryptoSystem.Instance.Unprotect("iAdQj5D0qrMuTggD8WpnOZPlVOfHg_qmPIEjnULAYd1h56cV2cL51rcaY8_UgxQbav5_6KTAtyE52ir1X6GmaS9ZPgw1");
byte[] two = MachineKey45CryptoSystem.Instance.Unprotect("Shvi8Bxe6-a8zfCfDGnxkaC-IETsbjkR9iIylwn-2VRWQ-GtQkdowdFw1biU7dN3j-xPJZHYQPe-hNfWspYjy_ZcCCY1");
byte[] three = MachineKey45CryptoSystem.Instance.Unprotect("ZhaVFngUMLo88jmTIx___BTWlYFyKh1GalwEeffRl0-o3Gu7_m98k6aQjO7IysZIdXxVx6TqL6QIfX19Uwq3Ia6dghA1");
比较所有三个字节数组显示它们是相同的。
| 归档时间: |
|
| 查看次数: |
9328 次 |
| 最近记录: |