ASP.NET Core MVC 2.x 全面教程__ASP.NET Core MVC 19. XSS & CSRF










存库之前先净化,净化之后再提交到数据库






刚才插入的那笔数据

把默认的Razor引擎默认的EnCode去掉。Razor默认会开启htmlEnCodding



数据恢复回来



插入数据库之前对插入的数据进行净化,或者叫做给它编码


原来的数据删掉,新加一条数据




想显示为正常的html 的话就用Html.Raw

CSEF





同步令牌模式

双重提交cookie


.net core 就是使用的同步令牌模式




按钮隐藏了表单 模拟提交数据




在此模拟

会生成表单验证的token 隐藏域

全局设置

然后添加一个全局的Filter

官方文档:

不想加验证token。加下面这个属性就可以了

 

posted @ 2019-05-28 14:30  高山-景行  阅读(224)  评论(0编辑  收藏  举报