参考:

Preventing Cross-Site Request Forgery (CSRF) Attacks
Validating .NET MVC 4 anti forgery tokens in ajax requests

在mvc中,微软提供了一个简单的方法来防止CSRF,就是在前端form表单里加上Anti-Forgery Tokens

<form action="/Home/Test" method="post">

    <input name="__RequestVerificationToken" type="hidden"

           value="6fGBtLZmVBZ59oUad1Fr33BuPxANKY9q3Srr5y[...]" />

    <input type="submit" value="Submit" />

</form>

razor的写法很简单:

@using (Html.BeginForm("Manage", "Account")) {

    @Html.AntiForgeryToken()

}

后端只需要在action上加上[ValidateAntiForgeryToken]标签即可

//

// POST: /execute/uploadfile/

[HttpPost]

[MyValidateAntiForgeryToken]

public ActionResult UploadFile()

{

	// codes here

}

那么ajax请求呢?
首先,我尝试在header里面加了__RequestVerificationToken,值就从razor生成,结果报错,最终发现还是要自定义,默认的[ValidateAntiForgeryToken]不行,所以我们就自定义一个MyValidateAntiForgeryTokenAttribute(片段1),需要注意以下几点:

  • 从filter中自己判断请求是不是ajax请求,如果你确实发起了ajax请求,还被Reauest.IsAjaxRequest()方法判定为false,那么检查一下header里面有没有{"X-Requested-With" : "XMLHttpRequest"}这个键和值
  • 既然是自定义过滤了,那么header里面这个键就没必要非得是__RequestVerificationToken了,你可以任意自定义,只要前后对应即可。
  • 至于如何取值,上面介绍了用@html扩展的写法,然后用js的方法把值取出来,也可以用下面片段2的写法,直接用razor写到js里面去,片段3中有使用方法(本例中一个angular的例子,注意甄别)
  • 最后,在应用的action前把系统默认的标签改成我们自定义的即可。

片段1,自定义的anti csrf过滤器

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = false, Inherited = true)]

public class MyValidateAntiForgeryTokenAttribute : FilterAttribute, IAuthorizationFilter

{

    private void ValidateRequestHeader(HttpRequestBase request)

    {

        string cookieToken = String.Empty;

        string formToken = String.Empty;

        string tokenValue = request.Headers["RequestVerificationToken"];

        if (!String.IsNullOrEmpty(tokenValue))

        {

            string[] tokens = tokenValue.Split(':');

            if (tokens.Length == 2)

            {

                cookieToken = tokens[0].Trim();

                formToken = tokens[1].Trim();

            }

        }

        AntiForgery.Validate(cookieToken, formToken);

    }

    public void OnAuthorization(AuthorizationContext filterContext)

    {

        try

        {

            if (filterContext.HttpContext.Request.IsAjaxRequest())

            {

                ValidateRequestHeader(filterContext.HttpContext.Request);

            }

            else

            {

                AntiForgery.Validate();

            }

        }

        catch (HttpAntiForgeryException e)

        {

            throw new HttpAntiForgeryException("Anti forgery token cookie not found");

        }

    }

}

片段2,定义一个@function片断

@functions{

    public string TokenHeaderValue()

    {

        string cookieToken, formToken;

        AntiForgery.GetTokens(null, out cookieToken, out formToken);

        return cookieToken + ":" + formToken;

    }

}

片段3, 使用定义的@function片断(实例为angular中为http请求添加全局的header)

var app = angular.module('srv', ['angularLocalStorage', 'angularFileUpload']);

app.config(['$httpProvider', function($httpProvider) {

	$httpProvider.defaults.headers.common["X-Requested-With"] = "XMLHttpRequest";

	$httpProvider.defaults.headers.common["RequestVerificationToken"] = '@TokenHeaderValue()';

}]);

asp.net MVC中防止跨站请求攻击(CSRF)的ajax用法的更多相关文章

  1. ASP.NET MVC中防止跨站请求攻击(CSRF)

    转载   http://kevintsengtw.blogspot.co.nz/2013/01/aspnet-mvc-validateantiforgerytoken.html 在 ASP.NET M ...

  2. ASP.NET MVC中设置跨域

    ASP.NET MVC中设置跨域 1.什么是跨域请求 js禁止向不是当前域名的网站发起一次ajax请求,即使成功respone了数据,但是你的js仍然会报错.这是JS的同源策略限制,JS控制的并不是我 ...

  3. js基础 js自执行函数、调用递归函数、圆括号运算符、函数声明的提升 js 布尔值 ASP.NET MVC中设置跨域

    js基础 目录 javascript基础 ESMAScript数据类型 DOM JS常用方法 回到顶部 javascript基础 常说的js包括三个部分:dom(文档document).bom(浏览器 ...

  4. ASP.NET Core-Docs:在 ASP.NET Core 中启用跨域请求(CORS)

    ylbtech-ASP.NET Core-Docs:在 ASP.NET Core 中启用跨域请求(CORS) 1.返回顶部   2.返回顶部   3.返回顶部   4.返回顶部   5.返回顶部 1. ...

  5. 跨站请求伪造 CSRF / XSRF<一:介绍>

    跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一 ...

  6. PHP安全编程:跨站请求伪造CSRF的防御(转)

    跨站请求伪造(CSRF)是一种允许攻击者通过受害者发送任意HTTP请求的一类攻击方法.此处所指的受害者是一个不知情的同谋,所有的伪造请求都由他发起,而不是攻击者.这样,很你就很难确定哪些请求是属于跨站 ...

  7. 跨站请求伪造(CSRF)-简述

    跨站请求伪造(CSRF)-简述 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 ...

  8. 跨站请求伪造(CSRF)攻击原理解析:比你所想的更危险

    跨站请求伪造(CSRF)攻击原理解析:比你所想的更危险 跨站请求伪造(Cross-Site Request Forgery)或许是最令人难以理解的一种攻击方式了,但也正因如此,它的危险性也被人们所低估 ...

  9. laravel之伪造跨站请求保护CSRF实现机制

    Laravel 提供了简单的方法使你的应用免受 跨站请求伪造 (CSRF) 的袭击.跨站请求伪造是一种恶意的攻击,它凭借已通过身份验证的用户身份来运行未经过授权的命令. Laravel 为每个活跃用户 ...

随机推荐

  1. ASP.NET学习笔记(1)——VS自动引入命名空间快捷键

    说明(2017-7-3 22:16:35) 1.在vs的“工具”->“选项”中,左侧树形菜单,“环境”下的“键盘”中设置快捷键. 在“显示命令包含”输入框内输入“显示智能标记”,找到“视图.显示 ...

  2. 4. 文本相似度计算-CNN-DSSM算法

    1. 文本相似度计算-文本向量化 2. 文本相似度计算-距离的度量 3. 文本相似度计算-DSSM算法 4. 文本相似度计算-CNN-DSSM算法 1. 前言 之前介绍了DSSM算法,它主要是用了DN ...

  3. 1:(0or1)

    public class User    {       public int ID { get; set; }       public string UserName { get; set; } ...

  4. === $ spark sql 的特别的方法

    /** * Equality test. * {{{ * // Scala: * df.filter( df("colA") === df("colB") ) ...

  5. redis关闭/重启服务器

    通过docker实现: 一.创建redis服务器与客户端 docker run -p : -d --name redis-server docker.io/redis: redis-server -- ...

  6. Dubbo相关博文整理

    configServer配置中心在dubbo client和 dubbo server之间的作用 http://www.cnblogs.com/dengzy/p/5677531.html dubbo ...

  7. CPP基础

    CPP基础1. 如果没有指明访问限定符(public,private),class中默认的private,而struct中的成员默认是public的. #include <iostream> ...

  8. 动态规划--电路布线(circuit layout)

    <算法设计与分析>  --王晓东 题目描述: 在一块电路板的上.下2端分别有n个接线柱.根据电路设计,要求用导线(i,a(i))将上端接线柱与下端接线柱相连,其中a(i)表示上端点i对应的 ...

  9. The SDK platform-tools version ((23)) is too old to check APIs compiled with API 26;

    好像是更新过啥SDK之后,项目一直在包名的那一行显示红线,不过是不报编译错误的,就是看着老扎心老扎心的,开始以为是指定的SDK版本的问题,修改后发现无效,最后找到方法解决: 打开SDK Manager ...

  10. TL431的几种常用用法

    TL431的主要作用是使得电路获得更稳定的电压,TL431是一种较为精密的可控稳压源,有着较为特殊的动态阻抗.其动态响应速度快,输出噪声低,价格低廉. 注意上述一句话概括,就是便宜,精密可控稳压源TL ...