ASP.net MVC AntiForgeryToken over AJAX

前端之家收集整理的这篇文章主要介绍了ASP.net MVC AntiForgeryToken over AJAX前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我目前正在ASP.net中开发一个MVC应用程序.我使用 AJAX.ActionLink在记录列表中提供删除链接,但这是非常不安全的.我把这个:
<AcceptVerbs(HttpVerbs.Post)>

在执行删除功能上,停止仅通过URL调用函数.但是,仍然存在的另一个安全漏洞是,如果我要创建一个包含此内容的基本html页面

<form action="http://foo.com/user/delete/260" method="post">
<input type="submit" />
</form>

它仍将是一个帖子,但来自不同的位置.

是否可以将AntiForgeryToken与AJAX ActionLink一起使用?如果是这样,这是一种安全的方法吗?我还没有意识到更多的安全漏洞吗?

解决方法

我并不特别了解AJAX ActionLink,但可以从WebForms页面使用[AcceptVerbs(HttpVerbs.Post),ValidateAntiForgeryToken]属性发布到MVC操作.

您可以使用反射来获取用于设置cookie的MVC方法以及用于MVC验证的匹配表单输入.

看到这个答案:Using an MVC HtmlHelper from a WebForm

猜你在找的asp.Net相关文章