ASP.NET MVC默认不应用防伪标记,因此每次都必须手动执行此操作,这是一个潜在的安全问题。
我正在考虑默认使用一些javascipt来应用防伪。这会导致安全问题吗?或者有更好的解决方案吗?
1)在页面上以所有可能的形式添加令牌。这是通过在主布局中添加以下脚本。
<script>
var csrfToken = '@Html.AntiForgeryToken()';
$(document).ready(function () {
$("form").append(csrfToken);
});
</script>
2)验证每个帖子上的令牌: