我正在开发一个 httphandler 来处理 Web 表单中的一些请求(不在 MVC 中)。
如何实现反跨站点脚本(如 MVC 中的防伪)?
我想了解 MVC 中的防伪机制。
【问题讨论】:
标签: asp.net forms httphandler antiforgerytoken
如果您可以访问页面,则可以使用页面的ViewStateUserKey 属性。以下是如何在页面内执行此操作的示例,但您会明白的:
protected void Page_Init(object sender, EventArgs e)
{
// Validate whether ViewState contains the MAC fingerprint
// Without a fingerprint, it's impossible to prevent CSRF.
if (!this.Page.EnableViewStateMac)
{
throw new InvalidOperationException(
"The page does NOT have the MAC enabled and the view" +
"state is therefore vulnerable to tampering.");
}
this.ViewStateUserKey = this.Session.SessionID;
}
虽然 ViewStateUserKey 相当安全,但也有一些缺点。你可以阅读更多关于here的信息。
【讨论】: