代码之家 › 专栏 › 技术社区 › mnemosyn

使用MVC2的AJAX请求中的CSRF保护

csrf asp.net-mvc-2 security ajax asp.net

mnemosyn · 技术社区 · 15 年前

现在,我想防止该页面对抗CSRF。提交表格时,使用 Html.AntiForgeryToken()

我目前的尝试是这样的 :

我想重新利用现有的魔法。然而, HtmlHelper.GetAntiForgeryTokenAndSetCookie 是私密的,我不想在MVC里闲逛。另一个选项是编写一个扩展,如

public static string PlainAntiForgeryToken(this HtmlHelper helper)
{
    // extract the actual field value from the hidden input
    return helper.AntiForgeryToken().DoSomeHackyStringActions();
}

ValidateAntiForgeryTokenAttribute ,但它使用 AntiForgeryDataSerializer 这是私人的,我真的不想复制它。

有什么建议如何以明智的方式做到这一点?我是不是遗漏了一些显而易见的东西?

1 回复 | 直到 15 年前

Darin Dimitrov 15 年前

你可以用传统的 Html.AntiForgeryToken() 帮助程序在页面上的某个位置(不一定在表单中)生成一个隐藏字段,并将其包含在ajax请求中:

var token = $('input[name=__RequestVerificationToken]').val();
$.post(
    '/SomeAction', { '__RequestVerificationToken': token }, 
    function() {
        alert('Account Deleted.');
    }
);

[AcceptVerbs(HttpVerbs.Post)]
[ValidateAntiForgeryToken]
public ActionResult SomeAction() 
{
    return View();
}

如果页面上有多个令牌,则可能需要指定要包含的令牌。由于现有辅助对象生成具有相同名称的隐藏字段,因此很难创建一个好的选择器,以便将它们放置在范围内:

<span id="t1"><%= Html.AntiForgeryToken() %></span>
<span id="t2"><%= Html.AntiForgeryToken() %></span>

然后选择相应的令牌:

var token = $('#t1 input[name=__RequestVerificationToken]').val();

推荐文章

Farid · 限制django每个客户的访问

2 年前

josegp · 在Nmap中-p-tag是什么意思

2 年前

Anony Mous · Python内置的哈希方法可靠且安全吗?[已关闭]

2 年前

Danny Gersh · 让网站成员上传js供其他成员使用有什么危险?

3 年前

Anonymous Creator · 在javascript中重新使用已通过身份验证的mvc客户端

7 年前

sauumum · 相互身份验证:ServerHelloDone之后“收到致命警报:握手失败”

7 年前

kramer65 · 如何根据网站用户在S3上添加非公共网站文件?

7 年前

derf26 · 如何阻止React Web包包含包中的脚本。json

7 年前

user8663960 · 最好也是最简单的方法是保护登录表单的安全

7 年前

Nyein Chan Wynn · Android:如何在生成指纹保护的密钥后立即使用它进行加密?

7 年前