MVC中的Html.AntiForgeryToken()是用来防止跨站请求伪造(CSRF:Cross-site request forgery)***的一个措施,它跟XSS(XSS又叫CSS:Cross-Site-Script),***不同,XSS一般是利用站内信任的用户在网站内插入恶意的脚本代码进行***，而CSRF则是伪造成受信任用户对网站进行***。

举个简单例子，譬如整个系统的公告在网站首页显示，而这个公告是从后台提交的，我用最简单的写法：

网站后台(Home/Index页面)设置首页公告内容，提交到HomeController的Text Action

@using (Html.BeginForm("Text","Home",FormMethod.Post))

{

@:网站公告:

}

HomeController的Text Action

[HttpPost]

public ActionResult Text()

{

ViewBag.Notice = Request.Form["Notice"].ToString();

return View();

}

填写完公告，提交，显示

此时提供给了跨站***的漏洞，CSRF一般依赖几个条件

(1)***者了解受害者所在的站点

(2)***者的目标站点具有持久化授权cookie或者受害者具有当前会话cookie

(3)目标站点没有对用户在网站行为的第二授权此时

现假设我知道我要***的网站的地址，譬如是http://localhost:6060/Home/Text,且也满足2，3的情况。

于是我新建一个AntiForgeryText.html文件，内容如下：

在这个html中加了一个隐藏的字段，Name和Id和网站要接收的参数名一样。

我点击了“黑掉这个网站”，呈现如下

这个就是利用了漏洞把首页的公告给改了，这就是一个简单的跨站***的例子。

MVC中通过在页面上使用 Html.AntiForgeryToken()配合在对应的Action上增加[ValidateAntiForgeryToken]特性来防止跨站***。

把上面的代码改成

@using (Html.BeginForm("Text","Home",FormMethod.Post))

{

@Html.AntiForgeryToken()

@:网站公告:

}

对应的Action

[HttpPost]

[ValidateAntiForgeryToken]

public ActionResult Text()

{

ViewBag.Notice = Request.Form["Notice"].ToString();

return View();

}

这样子我在AntiForgeryText.html中点"黑掉这个网站"，就会出现

这样就防止了跨站***。

页面上的Html.AntiForgeryToken()会给访问者一个默认名为__RequestVerificationToken的cookie

为了验证一个来自form post，还需要在目标action上增加[ValidateAntiForgeryToken]特性，它是一个验证过滤器，

它主要检查

(1)请求的是否包含一个约定的AntiForgery名的cookie

(2)请求是否有一个Request.Form["约定的AntiForgery名"]，约定的AntiForgery名的cookie和Request.Form值是否匹配

其中主要涉及到System.Web.WebPages.dll中的静态类AntiForgery

Html.AntiForgeryToken()调用了AntiForgery静态类的GetHtml方法，它产生一个随机值然后分别存储到客户端cookie和页面的hidden field中，

(2)页面上的hiddenfield

其中cookie的key的名字和页面hidden field的名字是一样的，默认都是"__RequestVerificationToken"，如果有提供ApplicationPath的话，那就是由"__RequestVerificationToken"和经过处理后的ApplicationPath组成。

Controller端则通过在Action上增加[ValidateAntiForgeryToken]特性来验证，

ValidateAntiForgeryTokenAttribute继承了FilterAttribute和IAuthorizationFilter，通过传递匿名委托方法，

委托调用AntiForgery类的Validate方法来实现验证。

Validate方法中主要验证Request.Cookies[antiForgeryTokenName]和两个的值是否相同，

如果页面没有，或者两个值不相等，就会抛出异常。