BT

JSONペイロードのASP.NET Anti-Forgeryトークン

| 作者: Roopesh Shenoy フォローする 0 人のフォロワー , 翻訳者 尾崎 義尚 フォローする 0 人のフォロワー 投稿日 2012年10月18日. 推定読書時間: 1 分 |

原文(投稿日:2012/10/16)へのリンク

 

ASP.NET MVCは、ユーザーが明示したトークンを使ってCSRF攻撃の検出とブロックを可能にする has AntiForgeryTokenヘルパーを持っている。しかし、主にajaxリクエストやKnockoutとBackboneのようなJSONペイロードのJavaScriptフレームワークを使っている場合、アプローチを少し変更する必要がある。

AntiForgeryTokenヘルパーは、Formのhiddenフィールドにトークンを含めたFormのPOSTで動作する。ValidateAntiForgeryTokenは、サブミットされたFormの値の確認だけを行う。これをJSONリクエストで動作するようにするには、以下のアプローチのいずれかを使用することができる。 -

これらすべてのソリューションは、__RequestVerificationTokenフィールドディレクトリに設定されている値に依存している。このフィールド名は、MVCフレームワークで固定的に使われている。

CSRF攻撃を回避するASP.NET MVCトークンヘルパについてより深く知りたい場合、Steven Sandersons氏の記事でこれについて紹介されている。

 

この記事に星をつける

おすすめ度
スタイル

こんにちは

コメントするには InfoQアカウントの登録 または が必要です。InfoQ に登録するとさまざまなことができます。

アカウント登録をしてInfoQをお楽しみください。

あなたの意見をお聞かせください。

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする
コミュニティコメント

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

ディスカッション

InfoQにログインし新機能を利用する


パスワードを忘れた方はこちらへ

Follow

お気に入りのトピックや著者をフォローする

業界やサイト内で一番重要な見出しを閲覧する

Like

より多いシグナル、より少ないノイズ

お気に入りのトピックと著者を選択して自分のフィードを作る

Notifications

最新情報をすぐ手に入れるようにしよう

通知設定をして、お気に入りコンテンツを見逃さないようにしよう!

BT