关于webform 防止跨站请求攻击(CSRF),AntiForgery 方法的使用问题,求指教~

u011120525 2016-09-28 09:39:15
首先感谢 Nic Pei提供的方法,详细方法传送门

小的现在有几个疑问,想请教下
先上代码
前台:

后台:


AntiForgery.Validate(cookie.Value,Token);这个方法来验证请求是否来自本站。

我的疑问:这个方法返回的是void类型,那如何判断 或者比较 Token的真实性呢?

是通过cookie 不为null 、 Token不为空,来判断这个请求是本站发出的么?那webconfig里配置的key的作用是干什么的,经过本地调试,发现,cookie.value 是不变的,每次刷新页面 Token的值 是在变的,提交还是可以通过的。
如果屏蔽掉webconfig 的配置还是可以通过验证,方法不会报错。如果伪造一个页面Token 在保证一个长度一致的格式一致的字符串,也是可以通过验证。
通过验证的意思就是AntiForgery.Validate(cookie.Value,Token)方法不报错,小的实在是不知道该怎么判断了
可能描述的不是很好
...全文
751 3 打赏 收藏 转发到动态 举报
写回复
用AI写文章
3 条回复
切换为时间正序
请发表友善的回复…
发表回复
编程有钱人了 2016-09-30
  • 打赏
  • 举报
回复

 public class AjaxValidateAntiForgeryTokenAttribute : AuthorizeAttribute
    {
        public override void OnAuthorization(AuthorizationContext filterContext)
        {
            var request = filterContext.HttpContext.Request;
            if (request.HttpMethod == WebRequestMethods.Http.Post)
            {
                if (request.IsAjaxRequest())
                {
                    var antiForgeryCookie = request.Cookies[AntiForgeryConfig.CookieName];
                    var cookieValue = antiForgeryCookie != null? antiForgeryCookie.Value: null;
                    //从cookies 和 Headers 中 验证防伪标记
                    //这里可以加try-catch
                    AntiForgery.Validate(cookieValue, request.Headers["__RequestVerificationToken"]);
                }
                else
                {
                    new ValidateAntiForgeryTokenAttribute().OnAuthorization(filterContext);
                }
            }
        }
    }


然后每个action加 [AjaxValidateAntiForgeryToken]

 [HttpPost]
        [AjaxValidateAntiForgeryToken]
        public ActionResult CheckSend(FormCollection fc)
        {
            string apid = fc["apid"];
            ApplyList apply = new ApplyList();
            apply.SubmitSchool = 1;
            apply.S_Id = 1;
            apply.Id = int.Parse(apid);
            List<string> lsfield = new List<string>();
            lsfield.Add("SubmitSchool");
            lsfield.Add("S_Id");
            _applyListService.UpdateApplyStatus(apply, lsfield);
            return Json(new { status = "1" });
        }
u011120525 2016-09-29
  • 打赏
  • 举报
回复
别沉~~~~~~
zhaoyunrui 2016-09-29
  • 打赏
  • 举报
回复
最简单的方法 就是你用session去保存。请求页面的时候 生成这个Token。在你处理请求的地方 去抓取前端存储的数据。就可以了。用完记得清掉。重新生成个新的。你的代码上基本上改不了多少。
内容概要:本文提出了一种基于改进扩散模型的高海拔地区新能源高波动出力场景生成方法,并提供了完整的Python代码实现。该方法针对高海拔地区风能、光伏等新能源出力波动剧烈、不确定性高的特点,通过优化扩散模型的结构与训练策略,有效捕捉历史数据的概率分布特征与时序相关性,从而生成高质量、多样化的出力场景。文中详细阐述了模型的数学推导、网络架构设计、损失函数优化及采样算法改进,并通过实验证明其在拟合精度、场景多样性与稳定性方面优于传统生成模型,为电力系统在高比例新能源接入下的规划、调度与风险评估提供了可靠的场景输入支持。; 适合人群:具备一定Python编程能力和机器学习基础,从事新能源发电预测、电力系统分析、智能优化、场景生成等方向研究的科研人员、高校研究生及工程技术人员。; 使用场景及目标:①用于高海拔地区风电、光伏出力的不确定性建模与多场景生成;②支撑含高渗透率新能源的电力系统随机优化调度、鲁棒决策与风险评估;③为相关学术研究、论文复现与算法改进提供可运行的技术方案与代码基础; 阅读建议:建议读者结合所提供的完整资源(代码、数据集、说明文档)进行实践操作,重点关注扩散模型的前向加噪与反向去噪过程的设计细节,以及如何将其适配于新能源时序数据的生成任务,通过参数调优与对比实验深入理解模型的生成机制与性能边界。
内容概要:本文围绕基于静态约束法的配电网电动汽车接入容量评估展开研究,提出了一种在新型电力系统背景下评估主动配电网对电动汽车承载能力的方法。研究通过构建数学模型,结合潮流计算与关键约束条件(如电压越限、线路过载等),量化分析配电网可承受的最大电动汽车充电负荷容量,旨在识别规模化电动汽车接入带来的潜在运行风险,并为电网规划与运行提供科学依据。文中配套提供了完整的Matlab代码实现,便于仿真验证与结果复现。此外,该研究与分布式光伏承载力评估、电动汽车可调能力分析等方向形成技术联动,展现了多主题协同的研究体系。; 适合人群:具备电力系统分析基础理论知识及Matlab编程能力的高校研究生、科研机构研究人员,以及从事新能源并网、智能配电网规划与运行等相关领域的工程技术人员。; 使用场景及目标:①用于学术研究中的模型复现与论文撰写支撑;②评估实际配电网中电动汽车大规模接入的可行性与安全边界,指导充电基础设施布局;③作为高校教学案例,帮助学生深入理解电网承载力评估的核心原理、建模方法与仿真技术; 阅读建议:建议结合文中提及的相关研究方向(如二阶锥规划、多面体聚合方法等)进行对比学习,充分利用所提供的Matlab代码与网盘资料开展仿真实验,重点关注约束条件的设定逻辑与潮流计算模块的实现细节,以深化对评估模型机理与工程应用价值的理解。

62,270

社区成员

发帖
与我相关
我的任务
社区描述
.NET技术交流专区
javascript云原生 企业社区
社区管理员
  • ASP.NET
  • .Net开发者社区
  • R小R
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告

.NET 社区是一个围绕开源 .NET 的开放、热情、创新、包容的技术社区。社区致力于为广大 .NET 爱好者提供一个良好的知识共享、协同互助的 .NET 技术交流环境。我们尊重不同意见,支持健康理性的辩论和互动,反对歧视和攻击。

希望和大家一起共同营造一个活跃、友好的社区氛围。

试试用AI创作助手写篇文章吧