灵感来自:How to protect against CSRF by default in ASP.NET MVC 4?
有没有办法在 ASP.NET Core 中实现相同的结果?
【问题讨论】:
services.AddMvc(options => options.Filters.Add(new AutoValidateAntiforgeryTokenAttribute())); 就足够了?
标签: c# .net asp.net-core csrf-protection
您可以将AutoValidateAntiforgeryTokenAttribute 应用为Startup.ConfigureServices() 中的全局过滤器,因此它会自动应用于您的所有路由:
services.AddMvc(options =>
options.Filters.Add(new AutoValidateAntiforgeryTokenAttribute()));
请注意,AutoValidateAntiforgeryTokenAttribute 仅适用于不安全请求(POST、PUT),不适用于安全请求(GET、HEAD、OPTIONS、TRACE)。这样,只有容易受到 CSRF 攻击的操作才需要防伪令牌。确保只有您的 POST 或 PUT 操作会修改数据,这一点很重要!
official docs 建议将这种全局过滤方法用于非 API 应用程序。
【讨论】:
Ignore GET 的?
AutoValidate 您不需要在 GET 路由上使用 IgnoreAntiforgeryToken。那是“自动”部分。 :)
另一种永久保护 CSRF 的方法是完全不使用 cookie 进行身份验证。如果这是一种可能性,我会尝试检查令牌身份验证并实施它。没有 cookie,没有 CSRF。
据我所知,拥有 JWT 令牌认证并不是什么大问题,例如与核心。
【讨论】: