[轉]ASP.NET MVC過濾器中許可權過濾器ValidateAntiForgeryToken的用法（Post-Only)

標籤：blog   http   io   os   使用   sp   for   on   log   

用途：防止CSRF（跨網站偽造要求）。

用法：在View->Form表單中:<%:Html.AntiForgeryToken()%>

        在Controller->Action動作上：[ValidateAntiForgeryToken]

原理：

1、<%:Html.AntiForgeryToken()%>這個方法會產生一個隱藏欄位：<inputname="__RequestVerificationToken" type="hidden" value="7FTM...sdLr1" />並且會將一個以"__RequestVerificationToken“為KEY的COOKIE給控制層。

2、[ValidateAntiForgeryToken]，根據傳過來的令牌進行對比，如果相同，則允許訪問，如果不同則拒絕訪問。

關鍵：ValidateAntiForgeryToken只針對POST請求。

換句話說，[ValidateAntiForgeryToken]必須和[HttpPost]同時加在一個ACTION上才可以正常使用。

這其中的原理我也沒想明白，等下次好好把MVC的原始碼看看。

不過我這麼說是有根據的，我寫了一些案例做了測試。

案例：

1、在一個ACTION的GET和POST方式分別加了[ValidateAntiForgeryToken]特性

Action:

 

 

2、用一個測試頁面以POST方式去請求ACTION，結果是成功的。並且，隱藏欄位的值和COOKIE都是可以拿到的。

測試Post的頁面：

3、用一個測試頁面以GET方式去請求ACTION，報錯。

測試Get的頁面：

推薦使用方式：

1、Post-Only:大概思想是，拒絕所有的GET，只允許自己的POST。（安全，但不靈活）

2、GET只做顯示，對所有的GET開放；POST做修改，對外界關閉，對自己開放。（靈活，但不夠安全)

國外有個人說，其實這個過濾器本身就不安全，他如是說，所有的REQUEST都是可以偽造的。

[轉]ASP.NET MVC過濾器中許可權過濾器ValidateAntiForgeryToken的用法（Post-Only)