千家信息网

请输入关键字词

热门搜索排行

最新搜索排行

导航: 首页 > 开发技术 >

ajax中如何使用AntiForgeryToken防止CSRF攻击

发表于:2025-02-23 作者:千家信息网编辑
千家信息网最后更新 2025年02月23日,小编给大家分享一下ajax中如何使用AntiForgeryToken防止CSRF攻击,相信大部分人都还不怎么了解,因此分享这篇文章给大家参考一下,希望大家阅读完这篇文章后大有收获,下面让我们一起去了解
千家信息网最后更新 2025年02月23日ajax中如何使用AntiForgeryToken防止CSRF攻击

小编给大家分享一下ajax中如何使用AntiForgeryToken防止CSRF攻击,相信大部分人都还不怎么了解,因此分享这篇文章给大家参考一下,希望大家阅读完这篇文章后大有收获,下面让我们一起去了解一下吧!

经常看到在项目中ajax post数据到服务器不加防伪标记,造成CSRF攻击

在Asp.net Mvc里加入防伪标记很简单在表单中加入Html.AntiForgeryToken()即可。

Html.AntiForgeryToken()会生成一对加密的字符串,分别存放在Cookies 和 input 中。

我们在ajax post中也带上AntiForgeryToken

@model WebApplication1.Controllers.Person@{ ViewBag.Title = "Index";}
Index
 
  
Persen
  
  @Html.ValidationSummary(true, "", new { @class = "text-danger" })  
   @Html.LabelFor(model => model.Name, htmlAttributes: new { @class = "control-label col-md-2" })   
    @Html.EditorFor(model => model.Name, new { htmlAttributes = new { @class = "form-control" } })    @Html.ValidationMessageFor(model => model.Name, "", new { @class = "text-danger" })   
  
  
   @Html.LabelFor(model => model.Age, htmlAttributes: new { @class = "control-label col-md-2" })   
    @Html.EditorFor(model => model.Age, new { htmlAttributes = new { @class = "form-control" } })    @Html.ValidationMessageFor(model => model.Age, "", new { @class = "text-danger" })

放在cookies里面的加密字符串

控制器中代码

using System;using System.Collections.Generic;using System.Linq;using System.Net;using System.Web;using System.Web.Helpers;using System.Web.Mvc;namespace WebApplication1.Controllers { public class HomeController : Controller  {  public ActionResult Index()   {   return View();   }  [HttpPost]  [MyValidateAntiForgeryToken]  public ActionResult Index(Person p)   {   return Json(true, JsonRequestBehavior.AllowGet);   }  } public class Person  {  public string Name { get; set; }  public int Age { get; set; }  } public class MyValidateAntiForgeryToken : AuthorizeAttribute  {  public override void OnAuthorization(AuthorizationContext filterContext)   {   var request = filterContext.HttpContext.Request;   if (request.HttpMethod == WebRequestMethods.Http.Post)    {      if (request.IsAjaxRequest())     {     var antiForgeryCookie = request.Cookies[AntiForgeryConfig.CookieName];     var cookieValue = antiForgeryCookie != null      ? antiForgeryCookie.Value      : null;     //从cookies 和 Headers 中 验证防伪标记     //这里可以加try-catch     AntiForgery.Validate(cookieValue, request.Headers["__RequestVerificationToken"]);     }    else     {     new ValidateAntiForgeryTokenAttribute()      .OnAuthorization(filterContext);     }    }   }  } }

这里注释掉ajax中防伪标记在请求

$("#save").click(function () { $.ajax({  type: 'POST',  url: '/Home/Index',  cache: false, //  headers: headers,  data: { Name: "yangwen", Age: "1" },  success: function (data) {   alert(data)  },  error: function () {   alert("Error")  } });})

默认返回500的状态码。

这里修改ajax中的防伪标记

  $(function () { //var token = $('[name=__RequestVerificationToken]'); //获取防伪标记 var token = $('@Html.AntiForgeryToken()').val(); var headers = {}; //防伪标记放入headers //也可以将防伪标记放入data headers["__RequestVerificationToken"] = token+11111111111111111111111111111111111; $("#save").click(function () {  $.ajax({   type: 'POST',   url: '/Home/Index',   cache: false,    headers: headers,   data: { Name: "yangwen", Age: "1" },   success: function (data) {    alert(data)   },   error: function () {    alert("Error")   }  }); })})

也是500的状态码。

以上是"ajax中如何使用AntiForgeryToken防止CSRF攻击"这篇文章的所有内容,感谢各位的阅读!相信大家都有了一定的了解,希望分享的内容对大家有所帮助,如果还想学习更多知识,欢迎关注行业资讯频道!

很赞哦!
标记 防伪 攻击 篇文章 内容 字符 字符串 状态 加密 不怎么 大部分 控制器 数据 更多 服务器 注释 知识 行业 表单 资讯 数据库的安全要保护哪些东西 数据库安全各自的含义是什么 生产安全数据库录入 数据库的安全性及管理 数据库安全策略包含哪些 海淀数据库安全审计系统 建立农村房屋安全信息数据库 易用的数据库客户端支持安全管理 连接数据库失败ssl安全错误 数据库的锁怎样保障安全 宝安区国内网络技术开发服务价格 如何下载电脑上的我的世界服务器 服务器添加路径信任 服务器如何更改认证 逍遥叹伴奏软件开发 C 克隆数据库 网络安全技术王群pdf 丽水软件开发制作 日新软件开发有限公司 网络安全与道德心得体会300字 软件开发公司管理结构PPT 关闭网络安全凭证密码 光纤通信网络技术的发展方向 电商数据库 sftp服务器主备 魔兽cs服务器 计算机网络技术方法 网络技术在教育上的利弊 怎么删掉数据库手机 红外技术属于无线网络技术吗 服务器系统盘安全配置 英伟达驱动一直服务器不可用 qq仙侠传怎么查看服务器 重庆理工大学计算机网络技术 网络安全rsa算法原理 删除一条数据库语句 可以扫雷的服务器 如何将核心代码放到服务器 olap适合用什么数据库 我国网络安全基本原则

相关文章

0