MVC中的Html.AntiForgeryToken()是用來防止跨站請求偽造(CSRF:Cross-site request forgery)***的一個措施,它跟XSS(XSS又叫CSS:Cross-Site-Script),***不同,XSS一般是利用站內(nèi)信任的用戶在網(wǎng)站內(nèi)插入惡意的腳本代碼進行***，而CSRF則是偽造成受信任用戶對網(wǎng)站進行***。

舉個簡單例子，譬如整個系統(tǒng)的公告在網(wǎng)站首頁顯示，而這個公告是從后臺提交的，我用最簡單的寫法：

網(wǎng)站后臺(Home/Index頁面)設(shè)置首頁公告內(nèi)容，提交到HomeController的Text Action

@using (Html.BeginForm("Text","Home",FormMethod.Post))

{

@:網(wǎng)站公告:

}

HomeController的Text Action

[HttpPost]

public ActionResult Text()

{

ViewBag.Notice = Request.Form["Notice"].ToString();

return View();

}

填寫完公告，提交，顯示

此時提供給了跨站***的漏洞，CSRF一般依賴幾個條件

(1)***者了解受害者所在的站點

(2)***者的目標(biāo)站點具有持久化授權(quán)cookie或者受害者具有當(dāng)前會話cookie

(3)目標(biāo)站點沒有對用戶在網(wǎng)站行為的第二授權(quán)此時

現(xiàn)假設(shè)我知道我要***的網(wǎng)站的地址，譬如是http://localhost:6060/Home/Text,且也滿足2，3的情況。

于是我新建一個AntiForgeryText.html文件，內(nèi)容如下：

在這個html中加了一個隱藏的字段，Name和Id和網(wǎng)站要接收的參數(shù)名一樣。

我點擊了“黑掉這個網(wǎng)站”，呈現(xiàn)如下

這個就是利用了漏洞把首頁的公告給改了，這就是一個簡單的跨站***的例子。

MVC中通過在頁面上使用 Html.AntiForgeryToken()配合在對應(yīng)的Action上增加[ValidateAntiForgeryToken]特性來防止跨站***。

把上面的代碼改成

@using (Html.BeginForm("Text","Home",FormMethod.Post))

{

@Html.AntiForgeryToken()

@:網(wǎng)站公告:

}

對應(yīng)的Action

[HttpPost]

[ValidateAntiForgeryToken]

public ActionResult Text()

{

ViewBag.Notice = Request.Form["Notice"].ToString();

return View();

}

這樣子我在AntiForgeryText.html中點"黑掉這個網(wǎng)站"，就會出現(xiàn)

這樣就防止了跨站***。

頁面上的Html.AntiForgeryToken()會給訪問者一個默認(rèn)名為__RequestVerificationToken的cookie

為了驗證一個來自form post，還需要在目標(biāo)action上增加[ValidateAntiForgeryToken]特性，它是一個驗證過濾器，

它主要檢查

(1)請求的是否包含一個約定的AntiForgery名的cookie

(2)請求是否有一個Request.Form["約定的AntiForgery名"]，約定的AntiForgery名的cookie和Request.Form值是否匹配

其中主要涉及到System.Web.WebPages.dll中的靜態(tài)類AntiForgery

Html.AntiForgeryToken()調(diào)用了AntiForgery靜態(tài)類的GetHtml方法，它產(chǎn)生一個隨機值然后分別存儲到客戶端cookie和頁面的hidden field中，

(2)頁面上的hiddenfield

其中cookie的key的名字和頁面hidden field的名字是一樣的，默認(rèn)都是"__RequestVerificationToken"，如果有提供ApplicationPath的話，那就是由"__RequestVerificationToken"和經(jīng)過處理后的ApplicationPath組成。

Controller端則通過在Action上增加[ValidateAntiForgeryToken]特性來驗證，

ValidateAntiForgeryTokenAttribute繼承了FilterAttribute和IAuthorizationFilter，通過傳遞匿名委托方法，

委托調(diào)用AntiForgery類的Validate方法來實現(xiàn)驗證。

Validate方法中主要驗證Request.Cookies[antiForgeryTokenName]和兩個的值是否相同，

如果頁面沒有，或者兩個值不相等，就會拋出異常。

總結(jié)

以上是生活随笔為你收集整理的mvc html.antiforgerytoken,MVC Html.AntiForgeryToken() 防止CSRF***的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。