Šis raksts ir mašīntulkošanas spoguļraksts, lūdzu, noklikšķiniet šeit, lai pārietu uz oriģinālo rakstu.

Architect_Programmer_Code Lauksaimniecības tīkls»Arhitekts Programmēšanas .net/c # mvc ajax ar AntiForgeryToken, lai novērstu CSRF uzbrukumus
Skats: 37886|Atbildi: 4

[ASP.NET] mvc ajax ar AntiForgeryToken, lai novērstu CSRF uzbrukumus

[Kopēt saiti]
Publicēts 02.11.2017 10:06:29 | | | |
Bieži ir redzams, ka ajax post dati uz serveri projektā nav atzīmēti ar pretviltošanas tagiem, izraisot CSRF uzbrukumus, un ir ļoti viegli pievienot pretviltošanas zīmes Asp.net MVC, pievienojot veidlapai Html.AntiForgeryToken().
Html.AntiForgeryToken() ģenerē pāris šifrētas virknes, kas tiek glabātas sīkdatnēs un ievadē. Mēs arī ienesam AntiForgeryToken ajax ziņā
Html.AntiForgeryToken() MVC ir pasākums, lai novērstu starpvietņu pieprasījumu viltošanas (CSRF: Cross-site request faltion) uzbrukumus, kas atšķiras no XSS (XSS ir pazīstams arī kā CSS: Cross-Site-Script), XSS parasti izmanto uzticamus lietotājus vietnē, lai tīklā ievietotu ļaunprātīgu skripta kodu, lai uzbruktu. CSRF, no otras puses, ir pseido-uzticams lietotājs, kas uzbrūk vietnei.
Pirmkārt, apskatīsim kodu šādi:

Palaižot, ģenerētais html kods izskatās šādi:



Noklikšķināsim uz testa pogas, lai pieprasītu pārbaudi un redzētu, vai tajā ir viltošanas novēršanas sīkdatnes, kā parādīts zemāk redzamajā attēlā:



Kontroliera kods ir šāds:

Mums ir jāpievieno ValidateAntiForgeryToken funkcija katram kontrolierim, ja lietotājs nenes AntiForgeryToken, mēs varam atgriezt lietotājam draudzīgu uzvedni šādi:







Iepriekšējo:asp.net mvc BindAttribute saistīšanas līdzeklis
Nākamo:Viens no salīdzinājumiem starp CMMI un Agile: būtiskā atšķirība starp abiem

Saistītās ziņas
 Saimnieks| Publicēts 02.11.2017 11:05:37 |
Iepriekš minētajai metodei jums ir jāpielāgo funkcija, un jūs nevarat izmantot noklusējuma funkciju ValidateAntiForgeryToken

Noklusējuma līdzeklis ir ņemt vērtību veidlapas formā un pēc tam to spriest



Es iekapsulēju post metodi ar jQuery ar pretviltošanas validāciju, un kods ir šāds:



 Saimnieks| Publicēts 02.11.2017 11:17:36 |
IsAjaxRequest, lai noteiktu, vai tas ir Ajax pieprasījums

Būtībā IsAjaxRequest() nosaka, vai galvenē ir lauks X-Requested-With un vai tas ir XMLHttpRequest

Dokumentācijas aplūkošana ir bezjēdzīga, tas ir atkarīgs no avota koda.
 Saimnieks| Publicēts 20.02.2021 19:22:26 |
ASP.NET CSRF uzbrukums Ajax pieprasījuma iekapsulēšana
https://www.itsvse.com/thread-8077-1-1.html
Publicēts 09.12.2021 18:37:56 |
testteststesta tests
Atruna:
Visa programmatūra, programmēšanas materiāli vai raksti, ko publicē Code Farmer Network, ir paredzēti tikai mācību un pētniecības mērķiem; Iepriekš minēto saturu nedrīkst izmantot komerciāliem vai nelikumīgiem mērķiem, pretējā gadījumā lietotājiem ir jāuzņemas visas sekas. Informācija šajā vietnē nāk no interneta, un autortiesību strīdiem nav nekāda sakara ar šo vietni. Iepriekš minētais saturs ir pilnībā jāizdzēš no datora 24 stundu laikā pēc lejupielādes. Ja jums patīk programma, lūdzu, atbalstiet oriģinālu programmatūru, iegādājieties reģistrāciju un iegūstiet labākus oriģinālus pakalpojumus. Ja ir kādi pārkāpumi, lūdzu, sazinieties ar mums pa e-pastu.
Mail To:help@itsvse.com