我试图了解MVC 5 Web应用程序模板,我注意到LogOff链接的安全性受到特别关注。
在scaffold模板中,_LoginPartial.cshtml视图中的“LogOff”链接位于HTML表单中,其中包含AntiForgeryToken,并被定义为表单提交操作的JS调用,如下所示:
@if (Request.IsAuthenticated)
{
using (Html.BeginForm("LogOff", "Account", FormMethod.Post, new { id = "logoutForm", @class = "navbar-right" }))
{
@Html.AntiForgeryToken()
<ul class="nav navbar-nav navbar-right">
<li>
@Html.ActionLink("Hello " + User.Identity.GetUserName() + "!", "Index", "Manage", routeValues: null, htmlAttributes: new { title = "Manage" })
</li>
<li><a href="javascript:document.getElementById('logoutForm').submit()">Log off</a></li>
</ul>
}
}
使用ActionController中相应的操作方法Account / LogOff定义如下:
[HttpPost]
[ValidateAntiForgeryToken]
public ActionResult LogOff()
{
AuthenticationManager.SignOut();
return RedirectToAction("Index", "Home");
}
我的问题是 - 背后的原因是什么?为什么LogOff操作需要如此多的安全保护?为什么不在视图中使用它,
@Html.ActionLink("Hello " + User.Identity.GetUserName() + "!", "Index", "Manage", routeValues: null, htmlAttributes: new { title = "Manage" })
@Html.ActionLink("Log Off", "LogOff", "Account", routeValues: null, htmlAttributes: new { title = "LogOff" })
这在控制器中:
public ActionResult LogOff()
{
AuthenticationManager.SignOut();
return RedirectToAction("Index", "Home");
}
这会产生什么安全漏洞?
感谢。