mvc html.antiforgerytoken,MVC Html.AntiForgeryToken() 防止CSRF***
MVC中的Html.AntiForgeryToken()是用来防止跨站请求伪造(CSRF:Cross-site request forgery)***的一个措施,它跟XSS(XSS又叫CSS:Cross-Site-Script),***不同,XSS一般是利用站内信任的用户在网站内插入恶意的脚本代码进行***,而CSRF则是伪造成受信任用户对网站进行***。
举个简单例子,譬如整个系统的公告在网站首页显示,而这个公告是从后台提交的,我用最简单的写法:
网站后台(Home/Index页面)设置首页公告内容,提交到HomeController的Text Action
@using (Html.BeginForm("Text","Home",FormMethod.Post))
{
@:网站公告:
}
HomeController的Text Action
[HttpPost]
public ActionResult Text()
{
ViewBag.Notice = Request.Form["Notice"].ToString();
return View();
}
填写完公告,提交,显示
此时提供给了跨站***的漏洞,CSRF一般依赖几个条件
(1)***者了解受害者所在的站点
(2)***者的目标站点具有持久化授权cookie或者受害者具有当前会话cookie
(3)目标站点没有对用户在网站行为的第二授权此时
现假设我知道我要***的网站的地址,譬如是http://localhost:6060/Home/Text,且也满足2,3的情况。
于是我新建一个AntiForgeryText.html文件,内容如下:
在这个html中加了一个隐藏的字段,Name和Id和网站要接收的参数名一样。
我点击了“黑掉这个网站”,呈现如下
这个就是利用了漏洞把首页的公告给改了,这就是一个简单的跨站***的例子。
MVC中通过在页面上使用 Html.AntiForgeryToken()配合在对应的Action上增加[ValidateAntiForgeryToken]特性来防止跨站***。
把上面的代码改成
@using (Html.BeginForm("Text","Home",FormMethod.Post))
{
@Html.AntiForgeryToken()
@:网站公告:
}
对应的Action
[HttpPost]
[ValidateAntiForgeryToken]
public ActionResult Text()
{
ViewBag.Notice = Request.Form["Notice"].ToString();
return View();
}
这样子我在AntiForgeryText.html中点"黑掉这个网站",就会出现
这样就防止了跨站***。
页面上的Html.AntiForgeryToken()会给访问者一个默认名为__RequestVerificationToken的cookie
为了验证一个来自form post,还需要在目标action上增加[ValidateAntiForgeryToken]特性,它是一个验证过滤器,
它主要检查
(1)请求的是否包含一个约定的AntiForgery名的cookie
(2)请求是否有一个Request.Form["约定的AntiForgery名"],约定的AntiForgery名的cookie和Request.Form值是否匹配
其中主要涉及到System.Web.WebPages.dll中的静态类AntiForgery
Html.AntiForgeryToken()调用了AntiForgery静态类的GetHtml方法,它产生一个随机值然后分别存储到客户端cookie和页面的hidden field中,
(2)页面上的hiddenfield
其中cookie的key的名字和页面hidden field的名字是一样的,默认都是"__RequestVerificationToken",如果有提供ApplicationPath的话,那就是由"__RequestVerificationToken"和经过处理后的ApplicationPath组成。
Controller端则通过在Action上增加[ValidateAntiForgeryToken]特性来验证,
ValidateAntiForgeryTokenAttribute继承了FilterAttribute和IAuthorizationFilter,通过传递匿名委托方法,
委托调用AntiForgery类的Validate方法来实现验证。
Validate方法中主要验证Request.Cookies[antiForgeryTokenName]和两个的值是否相同,
如果页面没有,或者两个值不相等,就会抛出异常。
mvc html.antiforgerytoken,MVC Html.AntiForgeryToken() 防止CSRF***相关推荐
- ASP.NET MVC 使用防伪造令牌来避免CSRF攻击
本文转自这篇文章 XSRF即在访问B站点的时候,执行了A站点的功能. 比如: A站点登录后,可以修改用户的邮箱(接口:/Email/Modify?email=123),修改邮箱时只验证用户有没有登 ...
- The prefix “mvc“ for element “mvc:annotation-driven“ is not bound 异常
The prefix "mvc" for element "mvc:annotation-driven" is not bound 异常 参考文章: (1)Th ...
- ASP.NET开源MVC框架Vici MVC(三)HELLO WORD
ASP.NET开源MVC框架Vici MVC 最大的特点是支持ASP.NET2.0 iis不需要额外的设置 官方实例下载地址http://viciproject.com/wiki/Projects/ ...
- [.net 面向对象程序设计深入](4)MVC 6 —— 谈谈MVC的版本变迁及新版本6.0发展方向...
[.net 面向对象程序设计深入](4)MVC 6 --谈谈MVC的版本变迁及新版本6.0发展方向 1.关于MVC 在本篇中不再详细介绍MVC的基础概念,这些东西百度要比我写的全面多了,MVC从1.0 ...
- mvc中的mvc分别指什么_什么是MVC,它像三明治店吗?
mvc中的mvc分别指什么 by Adam Wattis 通过亚当·沃蒂斯(Adam Wattis) 什么是MVC,它像三明治店吗? (What is MVC, and how is it like ...
- [MVC]Asp.net MVC中的Session
[MVC]Asp.net MVC中的Session 2008年12月9日 分类: ASP.NET, ASP.NET MVC, C#, 开发笔记 最近使用ASP.NET MVC 中的Controller ...
- spring mvc示例_Spring MVC示例
spring mvc示例 Welcome to Spring MVC Example. Sometime back in Spring MVC Tutorial, I explained how to ...
- java mvc mvvm_从MVC到MVVM(为什么要用vue)
axios 功能类似于jQuery.ajax. axios.post() axios.get() axios.put() axios.patch() axios.delete() 比jQuery.aj ...
- 【MVC、Spring MVC介绍、区别、执行流程】
介绍 MVC(Model-View-Controller)是一种软件架构模式,其中应用程序被划分为三个部分:模型(Model).视图(View)和控制器(Controller).MVC框架的主要目标是 ...
最新文章
- 1.内存优化(一)内存泄漏
- ymcms SQL注入漏洞
- centos6虚拟机复制后修改网卡
- MyBatis缓存机制学习
- 字符编码在python中的处理_python 字符编码处理问题总结
- 首个完全武器化的 Spectre Exploit 现身
- Codeforces 768B - Code For 1(分治思想)
- 【转载】阿里数据技术大图详解
- 医视云助力清华长庚医院开展肝胆外科肿瘤远程多学科会诊
- rtthread iic读取M24C64的测试程序
- 数据恢复国赛经验与方法分享(电子产品芯片级检测维修与数据恢复赛项)
- 考托福要不停的告诉自己:每临大事有静气!
- 三种方式让 Android WebView 支持文件下载
- 哪个求职网站最靠谱?
- Windows 远程桌面复制问题
- 跑步戴什么耳机比较好、精挑五款最佳跑步耳机推荐
- linux下查看opencv安装路径以及版本号
- 物理PC机ping不通虚拟机解决方法(亲测可用)
- Rasa使用指南01
- Tree Audio Branch录音 Sophia Pfister - Bad Decisions
热门文章
- C - Maximize GCD(简单数论)
- H - Hello Ms. Ze(树状数组套主席树,线段树上二分)
- Trie:hdu 4825、1251、1247、Poj 3764
- P1537 弹珠 背包可行性dp
- Codeforces Round #212 (Div. 2) C. Insertion Sort 思维
- C++顺序创建txt文件
- Codeforces Round #759 (Div. 2, based on Technocup 2022 Elimination Round 3)
- P3295 [SCOI2016]萌萌哒(DP+倍增)
- 洛谷P4762: [CERC2014]Virus synthesis(PAM)
- P4198-楼房重建【线段树】