探讨ASP.NET 4.6中@Html.AntiForgeryToken()的作用与使用方式,介绍如何通过表单装饰和控制器操作来实现CSRF攻击防护。
在ASP.NET .NET4.6 vNext中仍然需要@
Html.AntiForgeryToken()?
表单装饰已更改为
asp-action="Login"
asp-route-returnurl="@ViewBag.ReturnUrl"
method="post"
class="form-horizontal"
role="form">
由此
@using (Html.BeginForm("Login",
"Account",
new { ReturnUrl = ViewBag.ReturnUrl },
FormMethod.Post,
new { @class = "", role = "form" }))
不再包含这个
@Html.AntiForgeryToken()
控制器操作仍然按照预期标记有ValidateAntiForgeryToken属性,但是它来自哪里?自动的?
[HttpPost]
[AllowAnonymous]
[ValidateAntiForgeryToken]
public async Task Login(LoginViewModel model, string returnUrl = null)
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
