ASP.net MVC AntiForgeryToken over AJAX

asp.Net 2020-01-13
我目前正在ASP.net中开发一个MVC应用程序.我使用 AJAX.ActionLink在记录列表中提供删除链接,但这是非常不安全的.我把这个: 
<AcceptVerbs(HttpVerbs.Post)>

在执行删除功能上,停止仅通过URL调用函数.但是,仍然存在的另一个安全漏洞是,如果我要创建一个包含此内容的基本html页面

<form action="http://foo.com/user/delete/260" method="post">
<input type="submit" />
</form>

它仍将是一个帖子,但来自不同的位置.

是否可以将AntiForgeryToken与AJAX ActionLink一起使用?如果是这样,这是一种安全的方法吗?我还没有意识到更多的安全漏洞吗?

解决方法

我并不特别了解AJAX ActionLink,但可以从WebForms页面使用[AcceptVerbs(HttpVerbs.Post),ValidateAntiForgeryToken]属性发布到MVC操作.

您可以使用反射来获取用于设置cookie的MVC方法以及用于MVC验证的匹配表单输入.

看到这个答案:Using an MVC HtmlHelper from a WebForm

相关文章

.net6 使用gRPC示例
### 创建一个gRPC服务项目(grpc服务端)和一个 webapi项目(...
.Net 6 SignalR 实际业务开发中遇到的问题及解决办法
一、SiganlR 使用的协议类型 1.websocket即时通讯协议 2.Ser...
.Net 6 WebApi 项目部署到 Linux 系统上的 Docker 容器
.Net 6 WebApi 项目 在Linux系统上 打包成Docker镜像,发布为...
PowerDesigner与UML建模应用
一、 PD简介PowerDesigner 是一个集所有现代建模技术于一身的...
分页存储过程的使用
一、存储过程 存储过程就像数据库中运行的方法(函数) 优点:...
.NET中应用Ueditor(富文本编辑)的配置和使用
一、Ueditor的下载 1、百度编辑器下载地址:http://ueditor....