CSRF预防机制如何验证令牌?
我在名为Action methods的控制器中跟随Default1。
[HttpPost]
[ValidateAntiForgeryToken]
public ActionResult testing()
{
return View();
}
public ActionResult testing1()
{
return View();
}
他们对应的Views是:
testing1.cshtml
@{
ViewBag.Title = "testing1";
}
<h2>testing1</h2>
<form action="/Default1/testing" method="post">
@Html.AntiForgeryToken()
<input type="submit" value="submit"/>
</form>
testing.cshtml
@{
ViewBag.Title = "testing";
}
<h2>testing</h2>
<h1>successfully validated cookie</h1>
首先,我访问设置/Default1/testing1 Cookie的HttpOnly。对此请求的响应具有隐藏字段,该字段具有令牌。这是隐藏的输入字段。
<input name="__RequestVerificationToken" type="hidden" value="qgahCspc_DQBSQTkFR5_NmPDGygciZPNxt7BmqZE9NpmVzrbbo1N43T3RDjJvrMUmsq4MT5vUqvvQF4SCrSQXnQpKB9THGNA5hVcVu6exIQ1">
以下是response header的屏幕截图,可以在红色圆圈中看到Http cookie。
我认为首先设置了HttpOnly,并且在帖子请求value from hidden field&amp;如果两者相等,则比较value of HttpOnly Cookie,然后我们被认为是有效的。但是可以看出这两个值都不同。这个机制正在运作。问题是怎么样的?这些值中的一个是加密的,在比较之前解密。
0 个答案:
没有答案
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?