BT

InfoQ ホームページ ニュース JSONペイロードのASP.NET Anti-Forgeryトークン

JSONペイロードのASP.NET Anti-Forgeryトークン

ブックマーク

原文(投稿日:2012/10/16)へのリンク

 

ASP.NET MVCは、ユーザーが明示したトークンを使ってCSRF攻撃の検出とブロックを可能にする has AntiForgeryTokenヘルパーを持っている。しかし、主にajaxリクエストやKnockoutとBackboneのようなJSONペイロードのJavaScriptフレームワークを使っている場合、アプローチを少し変更する必要がある。

AntiForgeryTokenヘルパーは、Formのhiddenフィールドにトークンを含めたFormのPOSTで動作する。ValidateAntiForgeryTokenは、サブミットされたFormの値の確認だけを行う。これをJSONリクエストで動作するようにするには、以下のアプローチのいずれかを使用することができる。 -

これらすべてのソリューションは、__RequestVerificationTokenフィールドディレクトリに設定されている値に依存している。このフィールド名は、MVCフレームワークで固定的に使われている。

CSRF攻撃を回避するASP.NET MVCトークンヘルパについてより深く知りたい場合、Steven Sandersons氏の記事でこれについて紹介されている。

 

この記事に星をつける

おすすめ度
スタイル

こんにちは

コメントするには InfoQアカウントの登録 または が必要です。InfoQ に登録するとさまざまなことができます。

アカウント登録をしてInfoQをお楽しみください。

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

コミュニティコメント

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

BT

あなたのプロファイルは最新ですか?プロフィールを確認してアップデートしてください。

Eメールを変更すると確認のメールが配信されます。

会社名:
役職:
組織規模:
国:
都道府県:
新しいメールアドレスに確認用のメールを送信します。このポップアップ画面は自動的に閉じられます。