我最近在Microsoft文档(https://docs.microsoft.com/en-us/aspnet/core/security/anti-request-forgery)上添加了以下注释:
剃刀页面自动受到XSRF / CSRF保护。您不必编写任何其他代码。有关更多信息,请参见XSRF / CSRF和Razor页面。
指向另一页(https://docs.microsoft.com/en-us/aspnet/core/mvc/razor-pages/index?tabs=visual-studio#xsrf),其中指出:
您无需编写任何代码来进行防伪验证。防伪令牌生成和验证自动包含在Razor页面中。
我在我的ASP.NET MVC应用程序中使用Razor,还通过AntiForgeryToken帮助器保护表单。由于反伪造令牌相互验证的方式(隐藏字段+ cookie),我的用户必须允许网站上的cookie。
我现在对我在文档中阅读的内容感到困惑,因为似乎在使用Razor时不需要使用@Html.AntiForgeryToken()助手或[ValidateAntiForgeryToken]属性...?
还有一个问题,是否可以在不使用Cookie的情况下保护我的网站免受CSRF攻击?