如何扩展或覆盖BeginForm以包含AntiForgeryToken字段

要扩展或覆盖BeginForm以包含AntiForgeryToken字段，您可以使用以下方法：

在视图中添加AntiForgeryToken字段：

在视图中，您可以使用Html.AntiForgeryToken()方法添加一个AntiForgeryToken字段。例如：

@using (Html.BeginForm("ActionName", "ControllerName"))
{
    @Html.AntiForgeryToken()
    // 其他表单元素
}

在控制器中添加ValidateAntiForgeryToken属性：

在处理表单提交的控制器方法上，您可以添加ValidateAntiForgeryToken属性以验证AntiForgeryToken字段。例如：

[HttpPost]
[ValidateAntiForgeryToken]
public ActionResult ActionName(ModelName model)
{
    // 处理表单提交
}

使用Ajax请求时添加AntiForgeryToken：

如果您使用Ajax请求提交表单，您可以在请求头中添加AntiForgeryToken。例如：

$.ajax({
    url: "/ControllerName/ActionName",
    type: "POST",
    data: {
        // 表单数据
    },
    headers: {
        "RequestVerificationToken": '@Html.AntiForgeryTokenValue()'
    },
    success: function (result) {
        // 处理成功
    },
    error: function (result) {
        // 处理错误
    }
});

在全局筛选器中添加ValidateAntiForgeryTokenAttribute属性：

如果您希望在所有POST请求中都验证AntiForgeryToken，您可以在全局筛选器中添加ValidateAntiForgeryTokenAttribute属性。例如：

public class ValidateAntiForgeryTokenAttribute : FilterAttribute, IAuthorizationFilter
{
    public void OnAuthorization(AuthorizationContext filterContext)
    {
        if (filterContext == null)
        {
            throw new ArgumentNullException("filterContext");
        }

        var httpContext = filterContext.HttpContext;
        var request = httpContext.Request;

        if (request.HttpMethod == WebRequestMethods.Http.Post)
        {
            var antiForgeryCookie = httpContext.Request.Cookies[AntiForgeryConfig.CookieName];
            var antiForgeryCookieValue = antiForgeryCookie != null ? antiForgeryCookie.Value : null;

            try
            {
                AntiForgery.Validate(antiForgeryCookieValue, request.Headers["RequestVerificationToken"]);
            }
            catch (HttpAntiForgeryException e)
            {
                throw new HttpAntiForgeryException("AntiForgeryToken验证失败", e);
            }
        }
    }
}

然后，在Global.asax.cs文件中注册全局筛选器：

public static void RegisterGlobalFilters(GlobalFilterCollection filters)
{
    filters.Add(new ValidateAntiForgeryTokenAttribute());
}

这样，您就可以扩展或覆盖BeginForm以包含AntiForgeryToken字段，从而提高应用程序的安全性。

相关·内容

ASP.NET MVC 5 - 验证编辑方法(Edit method)和编辑视图(Edit view)

Html.LabelFor 用来显示字段的名称（"Title"、"ReleaseDate"、"Genre"或"Price")。 Html.EditorFor 用来呈现 HTML 元素。...第二行显示隐藏XSRF通过@Html.AntiForgeryToken()调用生成的令牌。...现在，搜索字符串信息作为窗体字段值，发送到服务器。这意味着您不能在 URL 中捕获此搜索信息，以添加书签或发送给朋友。...下面的代码演示如何检查movieGenre参数。如果它不是空的，代码进一步指定了所查询的电影流派。 if (!...在下一节中，您将看到如何添加一个属性到Movie model，和如何添加一个初始值设定项值，它会自动创建一个测试数据库。

6.7K11 0

.NET Core实战项目之CMS 第十四章开发篇-防止跨站请求伪造（XSRFCSRF）攻击处理

ASP.NET Core 中包含管理身份验证、授权、数据保护、SSL 强制、应用机密、请求防伪保护及 CORS 管理等等安全方面的处理。...在ASP.NET Core MVC 2.0或更高版本中，FormTagHelper为HTML表单元素注入防伪造令牌。...（你懂的）当Html表单包含method="post"并且下面条件之一成立是会自动生成防伪令牌。...HTML 帮助程序元素@Html.AntiForgeryToken: CSHTML复制 @Html.AntiForgeryToken...需要防伪验证 ValidateAntiForgeryToken实质上是一个过滤器，可应用到单个操作，控制器或全局范围内。

3.9K2 0

ASP.NET MVC编程——验证、授权与安全

扩展授权过滤器扩展授权过滤器可以定义继承自AuthorizeAttribute的类，也可以定义同时继承自FilterAttribute, IAuthorizationFilter接口的类。...public override object TypeId { get; } // 获取或设置有权访问控制器或操作方法的用户。...AuthorizeAttribute提供了三个可重新的虚方法AuthorizeCore，HandleUnauthorizedRequest，OnAuthorization，那么在执行授权动作的过程中他们是如何被调用的呢...()，在控制器操作上添加属性[ValidateAntiForgeryToken]，注意表单一定要使用@Html.BeginForm生成实现机制：AntiForgeryToken方法向用户浏览器cookie...例：可以指定多个字段，用逗号分隔 public ActionResult TestViewData([Bind(Include = "Field,Field1,Field1")]ModelF mf)

3.1K6 0

认识ASP.NET MVC的5种AuthorizationFilter

不仅限于授权，如果我们希望目标Action方法被调用之前中断执行的流程“做点什么”，都可以以AuthorizationFilter的形式来实现。...也就是说PrincipalPermissionAttribute特性对User和Role的授权逻辑是“逻辑或”，而AuthorizeAttribute 采用的则是“逻辑与”。...HtmlHelper的实例方法，不是扩展方法）。...1: @using (Html.BeginForm()) 2: { 3: @Html.AntiForgeryToken("647B8734-EFCA-4F51-9D98-36502D13E4E7...public void OnAuthorization(AuthorizationContext filterContext); 5: } 有的读者可能会问，AuthorizationFilter如何区分当前的请求是基于子

1.4K6 0

探索ASP.NET MVC5系列之~~~4.模型篇---包含模型常用特性和过度提交防御

（黑客最喜欢 type="hidden" 这种的，有时候也会解猜一些其他字段）举个很简单的例子：大家都知道有忘记密码是发个邮件给用户，然后点击链接之后就可以修改密码了，很多系统里面没有防止过度提交，用户...-------------------------扩展--------------------- 很多人去面试的时候有可能会被问到，Net里面这种传参原理是啥？来看一下传统方式： ? 革命性： ?...视图部分：（这次用另一种方法） @model Register @using (Html.BeginForm()) { @Html.AntiForgeryToken() <div class

7478 0

ASP.NET MVC 5 - 给数据模型添加校验器

您可以在一个地方（模型类）中以声明的方式指定验证规则，这个规则会在应用程序中的任何地方执行。让我们看看您如何在本电影应用程序中，使用此验证支持。...以下面的代码为例，以应用验证属性。...如何验证创建视图和创建方法您可能很想知道验证用户界面在没有更新控制器或视图代码的情况下是如何生成的。下面列出了MovieController类中的Create方法。...· 在的DataType属性可以使MVC选择合适的字段模板以呈现数据（如果本身所使用的的DisplayFormat使用字符串模板）。...如果你使用了的DataType的属性具有一个日期字段，你也必须指明，以确保字段正确地呈现Chrome浏览器中的DisplayFormat属性。

9K7 0

ASP.NET MVC5高级编程——（4）表单和HTML辅助方法

因为class是c#语言的保留关键字，不能用作属性名称或标识符，所以必须在class前面加一个@符号作为前缀： @using (Html.BeginForm("Search", "Home", FormMethod.Get...当方法名称左边有一个向下的蓝色箭头时，说明这个方法是一个扩展方法。 ?...下拉列表需要包含所有可选项的SelectListItem对象集合，其中每一个SelectListItem对象又包含有Text、Value和Selected三个属性。...下面的代码展示如何使用它来显示UserPassword属性： @Html.PasswordFor(m => m.UserPassword) 10.Html.RadioButton —— 单选按钮 1 @...hidden" value="false" /> 辅助方法、模型和视图数据：辅助方法如Html.TextBox和Html.DropDownList（以及其他所有表单辅助方法）检查ViewData对象以获得要显示的当前值

2.9K3 0

Asp.Net MVC4入门指南（6）：验证编辑方法和编辑视图

Html.LabelFor 用来显示字段的名称（"Title"、"ReleaseDate"、"Genre"或"Price")。 Html.EditorFor 用来呈现 HTML 元素。...该方法将返回一个视图包含一个 HTML 表单。...现在，搜索字符串信息作为窗体字段值，发送到服务器。这意味着您不能在 URL 中捕获此搜索信息，以添加书签或发送给朋友。...该 URL 将包含搜索的查询字符串。...在下一节中，您将看到如何将属性添加到Movie模型，以及如何添加一个初始设定并自动创建一个测试数据库。

4.2K10 0

ASP.NET MVC编程——视图

1Razon语法使用@符号后接C#或VB.NET语句的方式。...基本规则 1）变量 @后直接变量即可 2）代码块为使用表达式或多行代码，@后跟大括号将多行代码包括在大括号中 3）“+” 对于加号连接的两个字符串变量或属性，使用小括号将他们括起来 4）插入HTML或文字...为了能显示字段的中文名称使用DisplayName public class ModelF { public string Field { get; set; } [Range...(typeof(DateTime), "1/1/2018", "1/1/2019")] [DisplayName("[这个字段]")] public DateTime Field2...使用WebPageBase.Layout加载模板覆盖_ViewStart.cshtml文件指定默认的模板例如： _ViewStart.cshtml文件如下 @{ Layout = "~/Views

3K10 0

Ajax.BeginForm()知多少

在ASP.NET MVC中，Ajax.BeginForm扮演着异步提交的重要角色。其中就有五个重载方法，但是在实际应用中，你未必使用的得心应手，今天我们就从主要的参数来一探究竟。...三、routeValues 用来传递参数，支持两种数据类型（两种传参方式）： object类型可以在使用时直接以匿名类方式声明，使用非常方便举例：new { id = 1, type = 1 } RouteValueDictionary...也支持两种赋值方式： object类型可以在使用时直接以匿名类方式声明，使用非常方便举例：new{id = "frm", @class = "cls" }由于class是C#中的关键字，因此需要在前面加...@符号 IDictionary类型使用灵活，可以在一个地方声明，多个地方调用，或修改后使用，举例： Dictionary htmlAttr = new Dictionary...} 这样实现并没有拿到返回的错误数据，那到底如何传参呢？经过参考jquery.unobtrusive-ajax.js 源码，终于弄清，默认的传参是怎样的。

2.3K6 0

ASP.NET MVC学习笔记06编辑方法和编辑视图

@Html.ActionLink("Edit", "Edit", new { id=item.ID }) Html对象是一个 Helper, 以属性的形式在System.Web.Mvc.WebViewPage...应该只包含在bind属性属性，本教程中使用的简单模型，模型中绑定所有数据。...@Html.AntiForgeryToken() 生成隐藏的窗体, 防伪令牌必须匹配Movies控制器的 Edit 方法。...Html.LabelFor 用来显示字段的名称（”Title”、”ReleaseDate”、”Genre”或”Price”)。Html.EditorFor用来呈现 HTML 元素。...在下一篇中，将看到如何添加一个属性到 Movie model，和如何添加一个初始值设定项值，它会自动创建一个测试数据库。

4.9K5 0

ASP.NET MVC使用Bootstrap系列（4）——使用JavaScript插件

序言 Bootstrap的JavaScript插件是以JQuery为基础，提供了全新的功能并且还可以扩展现有的Bootstrap组件。...这两个文件包含了所有的Bootstrap插件，推荐引用Bootstrap.min.js。当然你也可以包含指定的插件来定制化Bootstrap.js，已达到更好的加载速度。...模态框（modal.js）模态框以弹出框的形式可以为用户提供信息亦或者在此之中完成表单提交功能。Bootstrap的模态框本质上有3部分组成：模态框的头、体和一组放置于底部的按钮。...一般来说，务必将模态框的 HTML 代码放在文档的最高层级内（也就是说，尽量作为 body 标签的直接子元素），以避免其他组件影响模态框的展现和/或功能。... 你确定要继续吗 @using (Html.BeginForm("Delete

5.1K6 0

利用动态注入HTML的方式来设计复杂页面

当用户输入相应的查询条件之后点击“Retrieve”按钮，相应的联系人列表显示以表格的形式显示出来（中图）。...当我们点击作为ID的链接后，会以“模态对话框”的形式显示当前联系人的编辑“窗口”（右图）。...简单起见，我们通过一个静态字段来表示维护的联系人列表。我们仅仅列出了默认的Action方法Index，它会直接将作为“容器页面”的View呈现出来。...这个主体部分包含三个，分别对应着上述的三个部分。...的方式提交到HomeController的Action方法Update（@using(Ajax.BeginForm("Update", null, new AjaxOptions { HttpMethod

3.5K2 0

【译】利用Asp.net MVC处理文件的上传下载

这篇文章主要说如何在Asp.net MVC中上传文件，然后如何再从服务器中把上传过的文件下载下来....有谁来对上联或下联? 注意form标签已经包括了enctype标签，而method属性则设为”post”,这样设置并不多于因为默认的提交时通过HTTP get方式进行的。...下面这种方式，使用Html.BeginForm()扩展方法，会生成和上面同样的HTML：此代码由Java架构师必看网-架构君整理 <% using (Html.BeginForm("", "home...这意味着它不仅仅只能容纳一个文件，而能容纳多个，我们将上面的View改为如下： <% using (Html.BeginForm("", "home", FormMethod.Post, new {...将数据库中的文件返回给用户：你如何将文件传送给用户取决于你最开始如何存储它，如果你将文件存入数据库，你会用流的方式将文件返还给用户，如果你将文件存在硬盘中，你只需要提供一个超链接即可，或者也可以以流的方式

8392 0

让我们的ASP.NET MVC应用可以单独维护验证消息

在这篇文章中将会通过扩展现有的ValidationAttribute特性让ASP.NET MVC应用可以使用我们的消息组件来获取验证消息。...我们仅仅定义了一个将消息ID和替换站位符的对象数组作为参数的构造函数，而该构造函数直接调用基类包含Func参数的构造函数。...()=>MessageManager.Current.GetMessage(messageId,args)) 5: { 6: } 7: } 二、扩展的...RequiredAttribute和RangeAttribute 接下来我们来演示如何定义具体的ValidationAttribute，我们以用于验证必需字段/属性和值范围的RequiredAttribute...3: @{ 4: ViewBag.Title = "Index"; 5: } 6: 7: Index 8: @using (Html.BeginForm

6857 0

asp.net core下的如何给网站做安全设置

首先，我们来看下stack overflow网站的请求头文件：可以看到一些我们熟悉或是陌生的HTTP头部文件字段。在这里我们在对HTTP输入流的头部文件中，做一些基本的防护。...headers.Remove(header); } await _next(context); } } 基于IApplicationBuilder接口做一个中间件的扩展方法...X-Powered-By: ASP.NET 还有一个就是CSRF的防护，如果之前你用过ASP.NET MVC，在最基本的MVC模板中，可能你会留意到已有的cshtml页面中的form表单有这么一句： @Html.AntiForgeryToken...参考链接： How to add security headers in ASP.NET Core using custom middleware（如何使用自定义中间件在ASP.NET Core中添加安全标头

1811 0

【ASP.NET Core 基础知识】--MVC框架--Views和Razor语法

Total items: @Model.Items.Count 良好的扩展性： Razor语法是可扩展的，可以通过自定义标签助手（Tag Helpers）等方式扩展其功能。...部分视图部分视图（Partial View）是在ASP.NET Core中可重用的、可以被其他视图或部分视图包含的组件。...了解如何有效地使用模型绑定可以简化控制器的代码，并使数据传递更为方便和可靠。...首先，在视图的顶部声明模型： @model YourNamespace.YourModel 然后，使用 Html.EditorFor 或 Html.TextBoxFor 等辅助方法： @using (Html.BeginForm...例如，图片或其他大型媒体资源可以在页面加载完成后再进行加载。合理使用 JavaScript 和 CSS 将JavaScript和CSS放置在页面底部，以减少对页面加载性能的影响。

1832 0

跨站请求伪造（CSRFXSRF）

ASP.NET以Token的形式来判断请求。　　我们需要在我们的页面生成一个Token，发请求的时候把Token带上。处理请求的时候需要验证Cookies+Token。 ? ? 　　...我们回头看看加了@Html.AntiForgeryToken()后页面和请求的变化。　　1. 页面多了一个隐藏域，name为__RequestVerificationToken。 ? 　　2....请求中也多了一个字段__RequestVerificationToken。 ? 　　原来要加这么个字段，我也加一个不就可以了！　　啊！为什么还是不行...逼我放大招，研究源码去！ ? 　　噢！...js代码： $(function () { var token = $('@Html.AntiForgeryToken()').val(); $('#btnSubmit...如果有些操作你不需要做CSRF的处理，比如附件上传，你可以在对应的Controller或Action上添加BypassCsrfValidationAttribute。

1.5K6 0

跨站请求伪造

ASP.NET以Token的形式来判断请求。我们需要在我们的页面生成一个Token，发请求的时候把Token带上。处理请求的时候需要验证Cookies+Token。 ? ?...我们回头看看加了@Html.AntiForgeryToken()后页面和请求的变化。 1、页面多了一个隐藏域，name为__RequestVerificationToken。 ?...2、请求中也多了一个字段__RequestVerificationToken。 ? 原来要加这么个字段，我也加一个不就可以了！ ? 啊！为什么还是不行...逼我放大招，研究源码去！ ? 噢！...js代码： $(function () { var token = $('@Html.AntiForgeryToken()').val(); $('...如果有些操作你不需要做CSRF的处理，比如附件上传，你可以在对应的Controller或Action上添加BypassCsrfValidationAttribute。

1.2K2 0

快速入门系列--MVC--05行为

这是一个关于异步操作很重要的类型，其属性OutstandingOperatons是一个异步操作计数器，类似信号量的概念，用Increment设置初始值，当一个或多个异步操作完成时递减，为0时表示有所操作已完成...这个简单介绍一下Controller在选择ActionInvoker时的步骤：通过DependencyResolver以IAsyncAcionInvoker查；以IActionInvoker查；创建异步类型作为默认...若想在程序中修改，需要手动的清空CurrentCache所对应类型中的_cache字段，部分代码如下所示： 1 private void ClearCachedActionInvokers() 2 {...从上图可知，通过跳转攻击者获得用户安全令牌，通过了授权验证，说明CSRF是一种隐蔽且危害巨大的攻击，框架通过ValidateAntiForgeryTokenAttribute结合HtmlHelper的AntiForgeryToken...在View中通过调用AntiForgeryToken方法，在页面中生一个值为防伪令牌字符串的hidden类型的元素，并且设置一个具有HttpOnly的Cookie。

5347 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云