关于webform 防止跨站请求攻击（CSRF），AntiForgery 方法的使用问题，求指教~

u011120525 2016-09-28 09:39:15

首先感谢 Nic Pei提供的方法，详细方法传送门

小的现在有几个疑问，想请教下
先上代码
前台：

后台：

AntiForgery.Validate(cookie.Value,Token);这个方法来验证请求是否来自本站。

我的疑问：这个方法返回的是void类型，那如何判断或者比较 Token的真实性呢？

是通过cookie 不为null 、 Token不为空，来判断这个请求是本站发出的么？那webconfig里配置的key的作用是干什么的，经过本地调试，发现，cookie.value 是不变的，每次刷新页面 Token的值是在变的，提交还是可以通过的。
如果屏蔽掉webconfig 的配置还是可以通过验证，方法不会报错。如果伪造一个页面Token 在保证一个长度一致的格式一致的字符串，也是可以通过验证。
通过验证的意思就是AntiForgery.Validate(cookie.Value,Token)方法不报错，小的实在是不知道该怎么判断了
可能描述的不是很好

...全文

664 3 打赏收藏转发到动态举报

写回复

用AI写文章

3 条回复

切换为时间正序

请发表友善的回复…

发表回复

编程有钱人了 2016-09-30

打赏
举报


 public class AjaxValidateAntiForgeryTokenAttribute : AuthorizeAttribute
    {
        public override void OnAuthorization(AuthorizationContext filterContext)
        {
            var request = filterContext.HttpContext.Request;
            if (request.HttpMethod == WebRequestMethods.Http.Post)
            {
                if (request.IsAjaxRequest())
                {
                    var antiForgeryCookie = request.Cookies[AntiForgeryConfig.CookieName];
                    var cookieValue = antiForgeryCookie != null? antiForgeryCookie.Value: null;
                    //从cookies 和 Headers 中 验证防伪标记
                    //这里可以加try-catch
                    AntiForgery.Validate(cookieValue, request.Headers["__RequestVerificationToken"]);
                }
                else
                {
                    new ValidateAntiForgeryTokenAttribute().OnAuthorization(filterContext);
                }
            }
        }
    }

然后每个action加 [AjaxValidateAntiForgeryToken]


 [HttpPost]
        [AjaxValidateAntiForgeryToken]
        public ActionResult CheckSend(FormCollection fc)
        {
            string apid = fc["apid"];
            ApplyList apply = new ApplyList();
            apply.SubmitSchool = 1;
            apply.S_Id = 1;
            apply.Id = int.Parse(apid);
            List<string> lsfield = new List<string>();
            lsfield.Add("SubmitSchool");
            lsfield.Add("S_Id");
            _applyListService.UpdateApplyStatus(apply, lsfield);
            return Json(new { status = "1" });
        }

u011120525 2016-09-29