在asp.net-core中存在一个类似于AntiForgery.Validate();
的命令来验证动作体中的防伪令牌?
dotnet 4.5.1中的代码示例:
public ActionResult Index()
{
if (!User.Identity.IsAuthenticated)
{
System.Web.Helpers.AntiForgery.Validate();
}
// rest of action
}
答案 0 :(得分:2)
根据Daniel的回答,我将代码更改为
[HttpPost]
[AllowAnonymous]
[IgnoreAntiforgeryToken]
public ActionResult Index()
{
if (!User.Identity.IsAuthenticated)
{
return NewIndex();
}
// rest of action
}
[HttpPost]
[AllowAnonymous]
[ValidateAntiForgeryToken]
public ActionResult NewIndex()
{
// body of new action
}
另一个基于docs draft的选项是将Antiforgery
作为服务注入。
Project.json
"Microsoft.AspNetCore.Antiforgery": "1.0.0"
Startup.cs
public void Configure(IApplicationBuilder app, IHostingEnvironment env, ILoggerFactory loggerFactory, IAntiforgery antiforgery)
{
...
public void ConfigureServices(IServiceCollection services)
{
services.AddAntiforgery();
...
然后在控制器上验证。
public class MyController : Controller
{
private readonly IAntiforgery _antiforgery;
public AccountController(IAntiforgery antiforgery)
{
_antiforgery = antiforgery;
}
public ActionResult Index()
{
if (!User.Identity.IsAuthenticated)
{
await _antiforgery.ValidateRequestAsync(HttpContext);
}
// rest of action
}
}
答案 1 :(得分:1)
防伪令牌由FormTagHelper
自动生成并添加。
您可以通过添加asp-antiforgery="true"
属性来禁用/启用此自动功能:
<form asp-controller="Account" asp-action="LogOff" asp-antiforgery="true"
method="post" id="logoutForm" class="navbar-right">
</form>
答案 2 :(得分:1)
可以使用控制器中的过滤器属性自动完成防伪签名验证。
[AutoValidateAntiforgeryToken]
验证所有&#34;不安全&#34;上的令牌方法。 (GET,HEAD,TRACE,OPTIONS以外的方法)。[ValidateAntiforgeryToken]
始终验证令牌[IgnoreAntiforgeryToken]
忽略令牌验证您可以组合这些属性以获得所需的粒度。例如:
//Validate all 'unsafe' actions except the ones with the ignore attribute
[AutoValidateAntiforgeryToken]
public class MyApi: Controller
{
[HttpPost]
public IActionResult DoSomething(){ }
[HttpPut]
public IActionResult DoSomethingElse(){ }
[IgnoreAntiforgeryToken]
public IActionResult DoSomethingSafe(){ }
}
//Validate only explicit actions
public class ArticlesController: Controller
{
public IActionResult Index(){ }
[ValidateAntiforgeryToken]
[HttpPost]
public IActionResult Create(){ }
}