BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

ASP.NET防伪令牌与JSON有效载荷

| 作者 Roopesh Shenoy 关注 0 他的粉丝 ,译者 姚琪琳 关注 0 他的粉丝 发布于 2012年10月31日. 估计阅读时间: 2 分钟 | QCon上海2018 关注大数据平台技术选型、搭建、系统迁移和优化的经验。

ASP.NET MVC中包含了AntiForgeryToken辅助方法,可以使用用户指定的令牌(token)来探测和阻断跨站请求伪造(CSRF)攻击。不过,在创建基本的Ajax请求或使用Knockout、Backbone这种包含JSON有效载荷(playload)的JavaScript框架时,需要对这种方法做一些修改。

AntiForgeryToken辅助方法与表单(Form)一起工作,后者以POST方式提交,包含一个用于存储令牌的隐藏字段。ValidateAntiForgeryToken只着眼于提交的表单值。要想让它能处理JSON请求,可以使用以下方法之一:

以上所有解决方案都依赖于直接设置__RequestVerificationToken字段的值。该字段是MVC框架中的常量。

要学习更多关于ASP.NET MVC令牌辅助方法如何阻止CSRF攻击的知识,可以阅读Steven Sanderson的文章

查看英文原文http://www.infoq.com/news/2012/10/anti-forgery-aspnet-json


感谢侯伯薇对本文的审校。

给InfoQ中文站投稿或者参与内容翻译工作,请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博(@InfoQ)或者腾讯微博(@InfoQ)关注我们,并与我们的编辑和其他读者朋友交流。

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT