1
我在阅读POST被认为是安全的,并且没有得到,并且我们应该在每个控制器的每个动作中实现[ValidateAntiForgeryToken]。ValidateAntiForgeryToken是否使用POST自动实现?
问题是:当我使用[POST]时,是否需要使用[ValidateAntiForgeryToken]数据注释?
A
回答
3
它默认关闭。
这有很好的理由。并非每一个岗位都有来自一个形式(尤其如此,因为你的问题被标记asp.net-core)
你应该如果您使用的表单标签助手与[ValidateAntiForgeryToken]
[ValidateAntiForgeryToken]
public IActionResult Post(Model model)
{
// ... etc
}
装饰你的控制器动作,它会自动将反伪造令牌添加到<form>标记中。
产生看起来像的标记:
<form action="/MyController" method="post">
<input name="__RequestVerificationToken" type="hidden" value="fhTFfhkKNsdfhYazFtN6c4YbZAmsEwG0srqlUqqloi/OIJOIJoijojhishg" />
<!-- rest of form here -->
</form>
注意:您也可以手动使用表单助手标签启用/禁用__RequestVerificationToken代:
<form
asp-controller="MyController"
asp-action="MyAction"
asp-antiforgery="false"
method="post">
+0
我有一个网络API。我的客户是Angular4。 –
+0
@JohnDoe对你有好处。你为什么用'asp.net-core-mvc'标记你的问题? – Alex
+0
Web API使用MVC。 –
相关问题
- 1. 在C#中使用自动实现的属性是否正确?
- 2. 如何是人在使用[ValidateAntiForgeryToken]
- 3. 如果发现使用系统实现,否则使用我自己的实现
- 4. 是否可以使用FQL实现friends.getMutualFriends?
- 5. 是否将ReentrantReadWriteLock实现为自旋锁?
- 6. 是否可以实现自己的IASKSettingsReader?
- 7. 使用OSGi实现自动更新
- 8. 是否可以使用Phonegap在iOS上实现视频自动播放?
- 9. 使用VFL在iOS中实现自动布局实现
- 10. 是否有使用动态的XElement或XDocument的实现?
- 11. 我是否真的需要cmake来实现构建自动化?
- 12. 继承类是否自动从其基类实现接口?
- 13. Xcode4是否具有自动实现创建功能?
- 14. 自动实现的属性是否支持属性?
- 15. 自动实现的属性是否有隐含的集合?
- 16. 自动_ptr实现
- 17. 实现自动化
- 18. 什么是自动实现的属性
- 19. 什么是C#中的“自动实现”?
- 20. 公共HTTP服务器是否实现解压缩POST数据?
- 21. PUT和POST - 它们是否依赖于实现?
- 22. ASP.NET:实现自定义MembershipProvider类是否需要您实现自定义Membership类?
- 23. 使用自动实现的属性或由我们自己实现属性
- 24. 常用的JavaScript实现是否使用字符串实习?
- 25. Jquery .post:是否可以使用动态名称(来自名称/值对)?
- 26. 如何找出属性是否是反射的自动实现的属性?
- 27. myBatis是否实现JPA?
- 28. 使用SmoothStreamingMediaElement实现点动
- 29. Web API和ValidateAntiForgeryToken
- 30. ValidateAntiForgeryToken错误
不,它没有自动实现,你需要在你的ActionResult上放置一个属性。检查此答案的更多细节https://stackoverflow.com/a/13622061/713789 – Adrian
尚未在官方稳定的分支,但propably它将从2.0 https://github.com/aspnet/Docs/issues/3688 –