ValidateAntiForgeryToken是通过POST自动实现的吗?
ValidateAntiForgeryToken是通过POST自动实现的吗?
提问于 2017-07-25 22:03:52
我读到POST被认为是安全的,没有,我们应该在每个控制器的每个操作中实现ValidateAntiForgeryToken。
问题是:当我使用POST时,是否需要使用ValidateAntiForgeryToken数据标注
回答 1
Stack Overflow用户
发布于 2017-07-25 22:13:42
默认情况下,它处于关闭状态。
这是有充分理由的。并不是每个帖子都必须来自表单(特别是因为你的问题被标记为asp.net-core)
您应该使用[ValidateAntiForgeryToken]来修饰控制器操作
[ValidateAntiForgeryToken]
public IActionResult Post(Model model)
{
// ... etc
}如果你使用的是表单标签助手,它会自动将防伪标记添加到<form>标记中。
生成的标记将如下所示:
<form action="/MyController" method="post">
<input name="__RequestVerificationToken" type="hidden" value="fhTFfhkKNsdfhYazFtN6c4YbZAmsEwG0srqlUqqloi/OIJOIJoijojhishg" />
<!-- rest of form here -->
</form>注意:您还可以使用表单助手标记手动启用/禁用__RequestVerificationToken生成:
<form
asp-controller="MyController"
asp-action="MyAction"
asp-antiforgery="false"
method="post">页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/45305669
复制相关文章
相似问题
腾讯云开发者
