我已阅读以下链接并完全理解除了一部分。我在链接的评论中问了一个问题,但是没有人回复。
http://www.asp.net/web-api/overview/security/preventing-cross-site-request-forgery-(csrf)-attacks
我们在哪里称之为“ ValidateRequestHeader ”?
有人可以回答这个吗?
答案 0 :(得分:2)
取决于您是否使用MVC或WebApi来验证请求。
对于Web Api,我会把它放在Message Handler。
中对于MVC,我会把它放在Action Filter。
这样,请求在到达控制器的操作方法之前就会得到验证,因为这是一个跨领域的问题,只需通过使用属性进行装饰就可以轻松地将其应用于任何控制器或操作。
MVC已经构建了[ValidateAntiForgeryToken]属性。我认为对于webapi,你需要自己动手。