239
ValidateAntiForgeryToken amacını açıklar mısın ve bana örnek olarak ValidateAntiForgeryToken MVC 4?ValidateAntiForgeryToken amacı, açıklama ve örnek
Bu özniteliği açıklayan herhangi bir örnek bulamadım?
A
cevap
281
MVC'nin sahteciliğe karşı desteklemesi, yalnızca HTTP'ye özel bir çereze benzersiz bir değer yazar ve sonra aynı değer forma yazılır. Sayfa gönderildiğinde, çerez değeri form değeriyle eşleşmezse bir hata ortaya çıkar.
Bu özelliğin cross site request forgeries'u engellediğini unutmamak önemlidir. Yani, kimliği doğrulanmış bir kullanıcının kimlik bilgilerini kullanarak gizli içerik göndermeye yönelik bir girişimde sitenize gönderilen başka bir siteden bir form. Saldırı, giriş yapmış olan kullanıcıyı bir form göndermeyi veya yalnızca sayfa yüklendiğinde bir formu programlı olarak tetiklemeyi içerir. Özellik, başka türde bir veriyi sahtecilik veya kurcalamaya dayalı saldırılara engel değildir.
Kullanmak için, eylem yöntemini veya denetleyiciyi ValidateAntiForgeryToken özniteliği ile dekore edin ve yönteme gönderilen formlarda @Html.AntiForgeryToken() numarasına bir çağrı yerleştirin.
+0
MVC CRUD Şablonları bu uygulamaya şekilde bakılırsa Yardımlarınız –
+1
için teşekkür ederim Rails gibi, bu doğru gibi görünmüyor. Oluşturduğu formları kullanarak oluşturursanız, her formun içinde: @ Html.AntiForgeryToken() görürsünüz. Bunun için VSDoc, içinde sahteciliği önleyici jetonla gizli bir form alanı oluşturduğunu söylüyor. Görünüşe göre aslında gizli bir form alanı ve bir çerez değil. Bir çerez olduğu ayrı bir senaryo var mı? –
+4
@Chris İkisi de. Benim cevabım gereği: "bir HTTP-sadece bir çerez için benzersiz bir değer yazar ve sonra * aynı değer formuna yazılır *" –
36
ValidateAntiForgeryToken özniteliğinin temel amacı, siteler arası talep sahteciliği saldırılarını engellemektir.
xsrf xsrf hakkında daha fazla bilgi, http://www.asp.net/mvc/overview/security/xsrfcsrf-prevention-in-aspnet-mvc-and-web-pages ziyaret ediniz user.For güvenilen bir saldırganın tarayıcıdan zararlı betik elemanı veya kötü amaçlı komut veya kodu gönderir ettiği bir saldırıdır.
[HttpPost]
[ValidateAntiForgeryToken]
public ActionResult CreateProduct(Product product)
{
if (ModelState.IsValid)
{
//your logic
}
return View(ModelName);
}
O System.Web.Mvc ad
dan Ve görünümünde türetilmiştir, bu kod ekleyin:
Kullanımı basittir, aşağıdaki gibi özellik ValidateAntiForgeryToken ile yöntemini süslemek için ihtiyaç o ibrazı üzerine
@Html.AntiForgeryToken()
+0
Evet haklısınız, formunuzdan @ Html.AntiForgeryToken() öğesini çağırmanız ve korumak istediğiniz eylem yöntemine ValidateAntiForgeryTokenAttribute değerini eklemeniz gerekir. –
İlgili konular
- 1. Eteration - açıklama ve örnek
- 2. Sınıfsız Modüllerde örnek yöntemlerin amacı nedir?
- 3. İlk olarak ValidateAntiForgeryToken global olarak
- 4. Açıklama ve
- 5. Facebook JavaScript SDK'sındaki işlev açıklama yönteminin amacı nedir?
- 6. KnockoutJS'deki değişken $ verilerinin kaynağı ve amacı nedir?
- 7. Her bir POST isteğinde ValidateAntiForgeryToken kullanmalı mıyım?
- 8. ek açıklama ve regex
- 9. snprintf ve sprintf açıklama
- 10. shm_open() ve ftruncate() 'nın amacı?
- 11. GL_COLOR_BUFFER_BIT ve GL_DEPTH_BUFFER_BIT'nin amacı nedir?
- 12. Açıklama Açıklama div divual
- 13. Bir günlük kütüphanesinin anlamı ve amacı nedir?
- 14. açıklama
- 15. Dörtlü açıklama ve C uygulaması
- 16. KOTLIN ve @Valid Bahar açıklama
- 17. Özet yöntemleri ve varargs açıklama
- 18. yerelleştirme ve örnek
- 19. autoclass ve örnek öznitelikleri
- 20. Jinja2 Açıklama
- 21. 1 javascript ile ayrışmanın amacı
- 22. Amacı nedir? * \\?
- 23. webAppRootKey amacı?
- 24. Chef amacı
- 25. Ember.js - Ember.lookup'un amacı,
- 26. Açısal-sıhhileştirmenin amacı nedir?
- 27. Galeriden ACTION_SEND amacı alma
- 28. IMAGE_CAPTURE amacı
- 29. django: django.utils.functional.SimpleLazyObject'in amacı nedir?
- 30. Fotoğraf makinesi amacı ve öncelik sırası Android
Kontrolü Bu yazı formu doğrulamak için kullanılır böylece jetonu eklemek http://prideparrot.com/blog/archive/2012/7/securing_all_forms_using_antiforgerytoken – VJAI
Bu arada, MS'nin neden bu hakkı ".BeginForm" yardımcılarına dahil etmediğini gerçekten anlamıyorum. Yani bu şey orada otomatik – jazzcat