ASP.NET MVC AntiForgeryToken

你开发一个网站，其中有个功能：新闻发布。

你是这样实现的：

1.保存新闻的方法是：/News/Save  POST提交

2.接受两个参数：title和content

有一天，你登录网站（浏览器会保存相关cookie），发布了一条新闻，发布成功。

然后打开了NSFW网站（你站点的相关cookie还在），这个网站等你很久了，他知道你的新闻发布功能的实现，于是在页面中嵌入一段脚本，模拟参数，请求你的保存方法。当然，还带着你的站点的cookie。

你的程序代码当然的处理成功了，所以一条新闻就发布成功了。而整个过程，你还懵逼着。

 

这个就是CSRF。Cross-site request forgery的缩写，中文名称叫跨站请求伪造。

名词很高大上，写在PPT里忽悠几句还能拿个风投。但简单理解就是：攻击者盗用了你的身份，以你的名义发送恶意请求。

重点在“伪造”，如果你能保证你访问每一个网站，都清除上个网站的痕迹的话，你就可以避免此攻击。但是，可能吗？NO！

所以，要在程序层面进行防御，重点是让攻击者无法伪造。

 

ASP.NET MVC的做法是：Html.AntiForgeryToken()

会在页面上生成这样一个隐藏域：

提交到服务端，使用ValidateAntiForgeryToken特性验证：

 

如果服务端请求中没有__RequestVerificationToken参数：

或者参数的值不一致：

这样，就能很大程度上防止伪造，进行CSRF攻击了。