MVC 防止CSRF -- AntiForgeryToken
1. 标配版
Home.cshtml
<form method='POST' action='Home/Subscribe' > @Html.AntiForgeryToken()
<input type="email" /> <input type="submit" value="Subscribe" /> </form>
HomeController
1 [HttpPost] 2 [ValidateAntiForgeryToken] 4 public ActionResult Subscribe(string email) 5 { 6 }
form method ='POST', @Html.AntiForgeryToken() ,[HttpPost], [ValidateAntiForgeryToken] 缺一不可
原理:
@Html.AntiForgeryToken() 会在页面生成如下name='__RequestVerificationToken' 的input, value 是随机字符串,每次刷新页面会不一样。 如下
1 <input name="__RequestVerificationToken" value="cMNPTS8iRvJuznErspwm+G/vd1Iec0/egpX4j8trlQtvWE9RMiifCd3/eNUzLCoi+m/w4qI2HbqkvHV7Js8WBeFbl3XWVbva4RjE2eSQHu+8xx5391x1W86ZbtSFdZp98h7cV3Dp/9erZjy5p2LO4LKvGEyGW3Dz73YTiNJSTwU=" type="hidden">
form POST提交会将表单内的数据加入request body , 所以 __RequestVerificationToken 也会在request 中。 同时request 里会有一个 __RequestVerificationToken_lw_ 的cookie, cookie的值是经过加密的,所以会跟页面上取到的值不一样。到了Server 端,[HttpPost]接收POST数据,[ValidateAntiForgeryToken] check request __RequestVerificationToken 和cookie 的值是否一致。如果一致执行Action, 不一致页面提示需要AntiforgeryToken.
2.非标配版
@Html.AntiForgeryToken()不一定放到form里, 但是必须手动把__RequestVerificationToken 值从页面取出放到request里, 从网上查的资料是RequestVerificationToken 可以放到body 和header 里都行, 但我自己试了一下,只有body里起了作用。
var token = $('[name=__RequestVerificationToken]').val();
var mailAddress=$('.email input').val();
$.ajax({
type: 'POST', url: '/Home/Subscribe', cache: false, data: { __RequestVerificationToken: token, email: mailAddress }, dataType: 'json', success: function (result) { }, error: function () {} });