1
我在閱讀POST被認爲是安全的,並且沒有得到,並且我們應該在每個控制器的每個動作中實現[ValidateAntiForgeryToken]。ValidateAntiForgeryToken是否使用POST自動實現?
問題是:當我使用[POST]時,是否需要使用[ValidateAntiForgeryToken]數據註釋?
A
回答
3
它默認關閉。
這有很好的理由。並非每一個崗位都有來自一個形式(尤其如此,因爲你的問題被標記asp.net-core)
你應該如果您使用的表單標籤助手與[ValidateAntiForgeryToken]
[ValidateAntiForgeryToken]
public IActionResult Post(Model model)
{
// ... etc
}
裝飾你的控制器動作,它會自動將反僞造令牌添加到<form>標記中。
產生看起來像的標記:
<form action="/MyController" method="post">
<input name="__RequestVerificationToken" type="hidden" value="fhTFfhkKNsdfhYazFtN6c4YbZAmsEwG0srqlUqqloi/OIJOIJoijojhishg" />
<!-- rest of form here -->
</form>
注意:您也可以手動使用表單助手標籤啓用/禁用__RequestVerificationToken代:
<form
asp-controller="MyController"
asp-action="MyAction"
asp-antiforgery="false"
method="post">
+0
我有一個網絡API。我的客戶是Angular4。 –
+0
@JohnDoe對你有好處。你爲什麼用'asp.net-core-mvc'標記你的問題? – Alex
+0
Web API使用MVC。 –
相關問題
- 1. 在C#中使用自動實現的屬性是否正確?
- 2. 如何是人在使用[ValidateAntiForgeryToken]
- 3. 如果發現使用系統實現,否則使用我自己的實現
- 4. 是否可以使用FQL實現friends.getMutualFriends?
- 5. 是否將ReentrantReadWriteLock實現爲自旋鎖?
- 6. 是否可以實現自己的IASKSettingsReader?
- 7. 使用OSGi實現自動更新
- 8. 是否可以使用Phonegap在iOS上實現視頻自動播放?
- 9. 使用VFL在iOS中實現自動佈局實現
- 10. 是否有使用動態的XElement或XDocument的實現?
- 11. 我是否真的需要cmake來實現構建自動化?
- 12. 繼承類是否自動從其基類實現接口?
- 13. Xcode4是否具有自動實現創建功能?
- 14. 自動實現的屬性是否支持屬性?
- 15. 自動實現的屬性是否有隱含的集合?
- 16. 自動_ptr實現
- 17. 實現自動化
- 18. 什麼是自動實現的屬性
- 19. 什麼是C#中的「自動實現」?
- 20. 公共HTTP服務器是否實現解壓縮POST數據?
- 21. PUT和POST - 它們是否依賴於實現?
- 22. ASP.NET:實現自定義MembershipProvider類是否需要您實現自定義Membership類?
- 23. 使用自動實現的屬性或由我們自己實現屬性
- 24. 常用的JavaScript實現是否使用字符串實習?
- 25. Jquery .post:是否可以使用動態名稱(來自名稱/值對)?
- 26. 如何找出屬性是否是反射的自動實現的屬性?
- 27. myBatis是否實現JPA?
- 28. 使用SmoothStreamingMediaElement實現點動
- 29. Web API和ValidateAntiForgeryToken
- 30. ValidateAntiForgeryToken錯誤
不,它沒有自動實現,你需要在你的ActionResult上放置一個屬性。檢查此答案的更多細節https://stackoverflow.com/a/13622061/713789 – Adrian
尚未在官方穩定的分支,但propably它將從2.0 https://github.com/aspnet/Docs/issues/3688 –