ASP.NET Core 中的Ajax全局Antiforgery Token配置
2021-02-19 16:20
标签:manage imp ext 点击 form das layout radius 微软雅黑
本文基于官方文档 《在 ASP.NET Core 防止跨站点请求伪造 (XSRF/CSRF) 攻击》扩展另一种全局配置Antiforgery方法,适用于使用ASP.NET Core Razor + JQuery Ajax的项目,喜欢玩前后端分离的同学可以酌情参考,但希望不要对XSRF/CSRF掉以轻心,更不要不做处理。 跨站点请求伪造(XSRF/CSRF)攻击跟浏览器中登录验证之后保存的Cookie有关,恶意站点通过向攻击目标站点发起非法请求时,浏览器按规则是会带上Cookie信息的,此时被攻击站点就会认为是用户操作行为,如果被利用在修改密码等操作上,对用户的信息安全就会带来威胁。为抵御 CSRF 攻击最常用的方法是使用同步器标记模式(STP)。 而Antiforgery Token(防伪令牌)是ASP.NET Core中的STP实现方案。 STP的防御过程: 熟悉ASP.NET和ASP.NET Core的同学应该都不陌生,因为在ASP.NET时期就有防止XSRF攻击的方法,ASP.NET MVC中,IHtmlHelper.BeginForm默认情况下生成防伪令牌,而ASP.NET Core中,使用FormTagHelper默认也会生成防伪令牌的。 TagHelper用法:
1|0前言
2|0Antiforgery Token 介绍
3|0解决方案
3|1Form表单提交
asp-action="ChangePassword" method="post">
...
HtmlHelper 生成Form的用法:
@using (Html.BeginForm("ChangePassword", "Manage"))
{
...
}
普通html form表单用法:
那么在Razor渲染之后,表单中就会生成一个隐藏的表单字段:
input name="__RequestVerificationToken" type="hidden" value="CfDJ8NrAkS ... s2-m9Yw">
3|2那么Ajax中要怎么处理呢?
官方文档虽然有提到Ajax的处理方法,但是它指的Ajax是js原生实现XMLHttpRequest
,而不是我们一般所认识的JQuery.ajax
。所以本文就要介绍一下在使用JQuery.ajax
时的全局配置。
场景一、从普通表单获取Antiforgery Token
这种方法跟上面提到的Form表单提交一致,只要把所生成的隐藏的表单字段也一并提交到服务器即可。
$.ajax({
url:"/Manage/ChangePassword",
type:"post"
data: { "__RequestVerificationToken":"CfDJ8NrAkS ... s2-m9Yw" }
})
但是这种方法有个弊端,就是需要配置的东西很多,又要在Contorller中加[ValidateAntiForgeryToken]
特性,又要在表单中处理使其生成隐藏字段。
有没有更方便的方法?当然有!而且即使是文档中号称自动防范 XSRF/CSRF的Razor Pages都同样需要!因为它并没有处理Ajax的场景。
场景二、全局配置,自动处理
全局获取Forgery Token
全局(每个页面)获取Forgery Token就是文档中提到的注入Microsoft.AspNetCore.Antiforgery.IAntiforgery
并调用GetAndStoreTokens
方法,但是由于需要达到全局获取,我需要把这个方法的调用写到布局页,如默认MVC模版的Views/Shared/_Layout.cshtml
@inject Microsoft.AspNetCore.Antiforgery.IAntiforgery Xsrf
@functions{
public string GetAntiXsrfRequestToken()
{
return Xsrf.GetAndStoreTokens(Context).RequestToken;
}
}
Ajax全局配置
JQuery.ajax
里全局设置头部的方法是$.ajaxSetup
,按照文档,把所需的头部字段RequestVerificationToken
配置上上面获取到的令牌变量csrfToken
,即可实现在每个Ajax请求都带有Forgery Token。
(function (window, document, $) {
$.ajaxSetup({
headers: {
‘RequestVerificationToken‘: csrfToken
}
});
})(window, document, jQuery);
4|0总结
虽然现在流行前后端分离了,包括我在内,也用上高大上的React、Angular、Vue等优秀框架,Github前端也把JQuery去掉了,但是Razor在ASP.NET Core中的份量有增无减,2.0版本带来了更轻量的Razor Pages, 因此Razor+JQuery的热度不会那么快退去,希望这篇文章能给大家在Razor+JQuery技术的使用过程中带来一点参考价值。
__EOF__
作 者:ElderJames
出 处:http://www.cnblogs.com/ElderJames/
关于博主:编程路上的小学生,热爱技术,喜欢专研。评论和私信会在第一时间回复。或者直接私信我。
版权声明:署名 - 非商业性使用 - 禁止演绎,协议普通文本 | 协议法律文本。
声援博主:如果您觉得文章对您有帮助,可以点击文章右下角【推荐】一下。您的鼓励是博主的最大动力!
ASP.NET Core 中的Ajax全局Antiforgery Token配置
标签:manage imp ext 点击 form das layout radius 微软雅黑
原文地址:https://www.cnblogs.com/lonelyxmas/p/12929642.html
上一篇:vue2 配置scss
下一篇:web服务器之nginx
文章标题:ASP.NET Core 中的Ajax全局Antiforgery Token配置
文章链接:http://soscw.com/index.php/essay/57608.html