BT

Ready for InfoQ 3.0? Try the new design and let us know what you think!

JSONペイロードのASP.NET Anti-Forgeryトークン

| 作者: Roopesh Shenoy フォローする 0 人のフォロワー , 翻訳者 尾崎 義尚 フォローする 0 人のフォロワー 投稿日 2012年10月18日. 推定読書時間: 1 分 |

原文(投稿日:2012/10/16)へのリンク

 

ASP.NET MVCは、ユーザーが明示したトークンを使ってCSRF攻撃の検出とブロックを可能にする has AntiForgeryTokenヘルパーを持っている。しかし、主にajaxリクエストやKnockoutとBackboneのようなJSONペイロードのJavaScriptフレームワークを使っている場合、アプローチを少し変更する必要がある。

AntiForgeryTokenヘルパーは、Formのhiddenフィールドにトークンを含めたFormのPOSTで動作する。ValidateAntiForgeryTokenは、サブミットされたFormの値の確認だけを行う。これをJSONリクエストで動作するようにするには、以下のアプローチのいずれかを使用することができる。 -

これらすべてのソリューションは、__RequestVerificationTokenフィールドディレクトリに設定されている値に依存している。このフィールド名は、MVCフレームワークで固定的に使われている。

CSRF攻撃を回避するASP.NET MVCトークンヘルパについてより深く知りたい場合、Steven Sandersons氏の記事でこれについて紹介されている。

 

この記事に星をつける

おすすめ度
スタイル

こんにちは

コメントするには InfoQアカウントの登録 または が必要です。InfoQ に登録するとさまざまなことができます。

アカウント登録をしてInfoQをお楽しみください。

あなたの意見をお聞かせください。

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする
コミュニティコメント

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

ディスカッション
BT