经常看到在项目中ajax post数据到服务器不加防伪标记,造成CSRF攻击

在Asp.net Mvc里加入防伪标记很简单在表单中加入Html.AntiForgeryToken()即可。

Html.AntiForgeryToken()会生成一对加密的字符串,分别存放在Cookies 和 input 中。

我们在ajax post中也带上AntiForgeryToken

@model WebApplication1.Controllers.Person

@{

    ViewBag.Title = "Index";

}

<h2>Index</h2>

<form id="form1">

    <div class="form-horizontal">

        <h4>Persen</h4>

        <hr />

        @Html.ValidationSummary(true, "", new { @class = "text-danger" })

        <div class="form-group">

            @Html.LabelFor(model => model.Name, htmlAttributes: new { @class = "control-label col-md-2" })

            <div class="col-md-10">

                @Html.EditorFor(model => model.Name, new { htmlAttributes = new { @class = "form-control" } })

                @Html.ValidationMessageFor(model => model.Name, "", new { @class = "text-danger" })

            </div>

        </div>

        <div class="form-group">

            @Html.LabelFor(model => model.Age, htmlAttributes: new { @class = "control-label col-md-2" })

            <div class="col-md-10">

                @Html.EditorFor(model => model.Age, new { htmlAttributes = new { @class = "form-control" } })

                @Html.ValidationMessageFor(model => model.Age, "", new { @class = "text-danger" })

            </div>

        </div>

        <div class="form-group">

            <div class="col-md-offset-2 col-md-10">

                <input type="button" id="save" value="Create" class="btn btn-default" />

            </div>

        </div>

    </div>

</form>

<script src="~/Scripts/jquery-1.10.2.min.js"></script>

<script src="~/Scripts/jquery.validate.min.js"></script>

<script src="~/Scripts/jquery.validate.unobtrusive.min.js"></script>

<script type="text/javascript">

    $(function () {

        //var token = $('[name=__RequestVerificationToken]');

        //获取防伪标记

        var token = $('@Html.AntiForgeryToken()').val();

        var headers = {};

        //防伪标记放入headers

        //也可以将防伪标记放入data

        headers["__RequestVerificationToken"] = token;

        $("#save").click(function () {

            $.ajax({

                type: 'POST',

                url: '/Home/Index',

                cache: false,

                headers: headers,

                data: { Name: "yangwen", Age: "1" },

                success: function (data) {

                    alert(data)

                },

                error: function () {

                    alert("Error")

                }

            });

        })

    })

</script>

放在cookies里面的加密字符串

控制器中代码

using System;

using System.Collections.Generic;

using System.Linq;

using System.Net;

using System.Web;

using System.Web.Helpers;

using System.Web.Mvc;

namespace WebApplication1.Controllers

    {

    public class HomeController : Controller

        {

        public ActionResult Index()

            {

            return View();

            }

     [HttpPost]

     [MyValidateAntiForgeryToken]

        public ActionResult Index(Person p)

            {

            return Json(true, JsonRequestBehavior.AllowGet);

            }

        }

    public class Person

        {

        public string Name { get; set; }

        public int Age { get; set; }

        }

    public class MyValidateAntiForgeryToken : AuthorizeAttribute

        {

        public override void OnAuthorization(AuthorizationContext filterContext)

            {

            var request = filterContext.HttpContext.Request;

            if (request.HttpMethod == WebRequestMethods.Http.Post)

                {

                if (request.IsAjaxRequest())

                    {

                    var antiForgeryCookie = request.Cookies[AntiForgeryConfig.CookieName];

                    var cookieValue = antiForgeryCookie != null

                        ? antiForgeryCookie.Value

                        : null;

                    //从cookies 和 Headers 中 验证防伪标记

                    //这里可以加try-catch

                    AntiForgery.Validate(cookieValue, request.Headers["__RequestVerificationToken"]);

                    }

                else

                    {

                    new ValidateAntiForgeryTokenAttribute()

                        .OnAuthorization(filterContext);

                    }

                }

            }

        }

    }

这里注释掉ajax中防伪标记在请求

  $("#save").click(function () {

            $.ajax({

                type: 'POST',

                url: '/Home/Index',

                cache: false,

          //      headers: headers,

                data: { Name: "yangwen", Age: "1" },

                success: function (data) {

                    alert(data)

                },

                error: function () {

                    alert("Error")

                }

            });

        })

默认返回500的状态码。

这里修改ajax中的防伪标记

   $(function () {

        //var token = $('[name=__RequestVerificationToken]');

        //获取防伪标记

        var token = $('@Html.AntiForgeryToken()').val();

        var headers = {};

        //防伪标记放入headers

        //也可以将防伪标记放入data

        headers["__RequestVerificationToken"] = token+11111111111111111111111111111111111;

        $("#save").click(function () {

            $.ajax({

                type: 'POST',

                url: '/Home/Index',

                cache: false,

               headers: headers,

                data: { Name: "yangwen", Age: "1" },

                success: function (data) {

                    alert(data)

                },

                error: function () {

                    alert("Error")

                }

            });

        })

    })

也是500的状态码。

ajax中加上AntiForgeryToken防止CSRF攻击的更多相关文章

  1. 切记ajax中要带上AntiForgeryToken防止CSRF攻击

    在程序项目中经常看到ajax post数据到服务器没有加上防伪标记,导致CSRF被攻击,下面小编通过本篇文章给大家介绍ajax中要带上AntiForgeryToken防止CSRF攻击,感兴趣的朋友一起 ...

  2. 转:MVC Html.AntiForgeryToken() 防止CSRF攻击

    (一)MVC Html.AntiForgeryToken() 防止CSRF攻击 MVC中的Html.AntiForgeryToken()是用来防止跨站请求伪造(CSRF:Cross-site requ ...

  3. [转]MVC Html.AntiForgeryToken() 防止CSRF攻击

    [转]MVC Html.AntiForgeryToken() 防止CSRF攻击 本文转自:http://blog.csdn.net/luck901229/article/details/8261640 ...

  4. MVC Html.AntiForgeryToken() 防止CSRF攻击 - CSDN博客

    原文:MVC Html.AntiForgeryToken() 防止CSRF攻击 - CSDN博客 (一)MVC Html.AntiForgeryToken() 防止CSRF攻击 MVC中的Html.A ...

  5. [ASP.NET MVC]@Html.AntiForgeryToken() 防止CSRF攻击

    MVC Html.AntiForgeryToken() 防止CSRF攻击 MVC中的Html.AntiForgeryToken()是用来防止跨站请求伪造(CSRF:Cross-site request ...

  6. 记得ajax中要带上AntiForgeryToken防止CSRF攻击

    经常看到在项目中ajax post数据到服务器不加防伪标记,造成CSRF攻击 在Asp.net Mvc里加入防伪标记很简单在表单中加入Html.AntiForgeryToken()即可. Html.A ...

  7. MVC Html.AntiForgeryToken() 防止CSRF攻击

    转自:http://blog.csdn.net/cpytiger/article/details/8781457 一.MVC中的Html.AntiForgeryToken()是用来防止跨站请求伪造(C ...

  8. Html.AntiForgeryToken() 防止CSRF攻击 的AJaX应用

    有关Html.AntiForgeryToken()的使用其实网上的说明很多了,比如http://blog.csdn.net/cpytiger/article/details/8781457 那么我们写 ...

  9. 转载MVC Html.AntiForgeryToken() 防止CSRF攻击

    MVC中的Html.AntiForgeryToken()是用来防止跨站请求伪造(CSRF:Cross-site request forgery)攻击的一个措施,它跟XSS(XSS又叫CSS:Cross ...

随机推荐

  1. IOS项目集成ShareSDK实现第三方登录、分享、关注等功能。

    (1)官方下载ShareSDK iOS 2.8.8,地址:http://sharesdk.cn/ (2)根据实际情况,引入相关的库,参考官方文档. (3)在项目的AppDelegate中一般情况下有三 ...

  2. Effective Java 13 Minimize the accessibility of classes and members

    Information hiding is important for many reasons, most of which stem from the fact that it decouples ...

  3. Python基本数据结构-集合-创建/与其他类型比较

  4. VISUAL STUDIO 调试

    调试术语 Visual Studio调试之断点基础篇 Visual Studio调试之断点进阶篇 不能设置断点的检查步骤 Visual Studio调试之断点技巧篇 Visual Studio调试之断 ...

  5. 使用Sqoop,最终导入到hive中的数据和原数据库中数据不一致解决办法

            Sqoop是一款开源的工具,主要用于在Hadoop(Hive)与传统的数据库(mysql.postgresql...)间进行数据的传递,可以将一个关系型数据库(例如 : MySQL , ...

  6. Java程序员修炼之道 之 Logging(1/3) - Logback 配置(转)

    转自紫风乱写:http://www.blogjava.net/justfly/archive/2014/08/10/416768.html,建议大家去原处学习 写在前面的话: 作为<Java程序 ...

  7. cocos2d-x之计时器初试

    bool HelloWorld::init() { if ( !Layer::init() ) { return false; } Size visibleSize = Director::getIn ...

  8. openwrt简单ipk生成及Makefile解释

    前言 类似的文章其实网上比较多了,我写这个的目的: 1,网上文章良莠不齐,有些自己都没实际动手操作,随便复制粘贴,实际操作不可行. 2,基本只讲了操作,我当时最关心的Makefile文件的解释没有. ...

  9. javascript 动态改变onclick事件

    第一种:button.onclick = Function("alert('hello');"); 第二种:button.onclick = function(){alert(&q ...

  10. runc create container 流程分析

    1.// runc/create.go Action: func(context *cli.Context) error 首先调用spec, err := setupSpec(context)加载配置 ...