我在一篇文章中读到,可以使用ViewState保护aspx页面免受CSRF的侵害。但就我而言,该页面是通过WebRequest API异步调用的,下面提到的Update.aspx设置了Async =“ true”。
我不明白如何阻止该页面免受CSRF攻击,因为它没有ViewState。
var wRequest = new Sys.Net.WebRequest();
wRequest.set_url("Update.aspx");
wRequest.set_httpVerb("POST");
var body = "<data>";
wRequest.set_body(body);
wRequest.get_headers()["Content-Length"] = body.length;
wRequest.add_completed(onExecuteCompleted);
wRequest.invoke();
在Update.aspx后面的代码中定义的功能是Page_Load,BeginAsyncOperation和EndAsyncOperation。 BeginAsyncOperation和EndAsyncOperation用于异步任务。
如何在上述代码段中为Update.aspx实施CSRF保护?