gpt4 book ai didi

通过AJAX的ASP.net MVC AntiForgeryToken

转载 作者:行者123 更新时间:2023-12-04 04:58:29 25 4
gpt4 key购买 nike

我目前正在ASP.net中开发MVC应用程序。我正在使用AJAX.ActionLink在记录列表中提供删除链接,但是这是非常不安全的。我把这个:

<AcceptVerbs(HttpVerbs.Post)>

在函数上执行删除操作,这将阻止仅通过URL调用该函数。但是,仍然存在的另一个安全漏洞是,如果我要制作具有以下内容的基本html页面:
<form action="http://foo.com/user/delete/260" method="post">
<input type="submit" />
</form>

仍然会在不同的位置执行帖子。

是否可以将AntiForgeryToken与AJAX ActionLink一起使用?如果是这样,这是一种安全的方法吗?我还没有意识到更多的安全漏洞吗?

最佳答案

我不特别了解AJAX ActionLink,但是可以从WebForms页面将其发布到具有[AcceptVerbs(HttpVerbs.Post), ValidateAntiForgeryToken]属性的MVC操作中。

您可以使用反射来获取用于设置Cookie的MVC方法以及用于MVC验证的匹配表单输入。

看到这个答案:Using an MVC HtmlHelper from a WebForm

关于通过AJAX的ASP.net MVC AntiForgeryToken,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1346070/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com