MVC 防止CSRF -- AntiForgeryToken

1. 标配版 

Home.cshtml

<form method='POST' action='Home/Subscribe' >
    @Html.AntiForgeryToken()
    <input type="email" />
    <input type="submit" value="Subscribe"  />
</form>

HomeController

[HttpPost]
[ValidateAntiForgeryToken]
public ActionResult Subscribe(string email)
{
}

form method ='POST', @Html.AntiForgeryToken() ,[HttpPost], [ValidateAntiForgeryToken]  缺一不可

原理： 

@Html.AntiForgeryToken() 会在页面生成如下name='__RequestVerificationToken' 的input, value 是随机字符串，每次刷新页面会不一样。 如下

 

<input name="__RequestVerificationToken" value="cMNPTS8iRvJuznErspwm+G/vd1Iec0/egpX4j8trlQtvWE9RMiifCd3/eNUzLCoi+m/w4qI2HbqkvHV7Js8WBeFbl3XWVbva4RjE2eSQHu+8xx5391x1W86ZbtSFdZp98h7cV3Dp/9erZjy5p2LO4LKvGEyGW3Dz73YTiNJSTwU=" type="hidden">

 

 

form POST提交会将表单内的数据加入request body , 所以 __RequestVerificationToken 也会在request 中。 同时request 里会有一个 __RequestVerificationToken_lw_ 的cookie, cookie的值是经过加密的，所以会跟页面上取到的值不一样。到了Server 端，[HttpPost]接收POST数据，[ValidateAntiForgeryToken] check request __RequestVerificationToken  和cookie 的值是否一致。如果一致执行Action, 不一致页面提示需要AntiforgeryToken.

2.非标配版

@Html.AntiForgeryToken()不一定放到form里， 但是必须手动把__RequestVerificationToken 值从页面取出放到request里， 从网上查的资料是RequestVerificationToken  可以放到body 和header 里都行， 但我自己试了一下,只有body里起了作用。

 

var token = $('[name=__RequestVerificationToken]').val();
var mailAddress=$('.email input').val();

$.ajax({
　　type: 'POST',
  url: '/Home/Subscribe',
  cache: false,
  data: { __RequestVerificationToken: token, email: mailAddress },
  dataType: 'json',
  success: function (result) { },
  error: function () {}
});