Co to jest atrybut ValidateAntiForgeryToken w MVC?
Co to jest atrybut ValidateAntiForgeryToken w MVC?

Wideo: Co to jest atrybut ValidateAntiForgeryToken w MVC?

Wideo: Co to jest atrybut ValidateAntiForgeryToken w MVC?
Wideo: Stress Re.Live из серии Siberian Super Natural Nutrition 2024, Marsz
Anonim

Kiedy to zrobisz, ASP. NET MVC emituje ciasteczko i pole formularza z tokenem zabezpieczającym przed fałszerstwem (token zaszyfrowany). Kiedyś [ Weryfikuj token zabezpieczający przed fałszerstwem ] atrybut jest ustawione, kontroler sprawdzi, czy przychodzące żądanie zawiera plik cookie weryfikacji żądania oraz pole formularza weryfikacji żądania ukrytego.

Co to jest Validateantiforgerytoken w MVC?

Aby zapobiec atakom CSRF, ASP. NET MVC wykorzystuje tokeny zapobiegające fałszerstwom, zwane również tokenami weryfikacji żądania. Klient żąda strony HTML zawierającej formularz. Serwer zawiera w odpowiedzi dwa tokeny. Jeden token jest wysyłany jako plik cookie. Drugi jest umieszczony w ukrytym polu formularza.

Poza powyższym, czym jest _ Requestverificationtoken? Wyniki wyszukiwania plików cookie: _RequestVerificationToken Jest to plik cookie zabezpieczający przed fałszerstwem, ustawiany przez aplikacje internetowe zbudowane przy użyciu technologii ASP. NET MVC. Ma on na celu powstrzymanie nieautoryzowanego publikowania treści na stronie internetowej, znanego jako Cross-Site Request Forgery.

W związku z tym, dlaczego używamy HTML AntiForgeryToken() w MVC?

Ma to na celu zapobieganie fałszowaniu żądań między witrynami w Twoim MVC podanie. Jest to część Top 10 OWASP i to ma kluczowe znaczenie z punktu widzenia bezpieczeństwa sieci. Używając @ HTML . Token zabezpieczający przed fałszerstwem() metoda wygeneruje token na każde żądanie, więc nikt nie będzie mógł sfałszować wpisu formularza.

Co to jest routing atrybutów w MVC?

Rozgromienie jest jak ASP. NET MVC dopasowuje identyfikator URI do akcji. Jak sama nazwa wskazuje, routing atrybutów używa atrybuty zdefiniować trasy . Routing atrybutów daje większą kontrolę nad identyfikatorami URI w aplikacji internetowej. Wcześniejszy styl rozgromienie , o nazwie opartej na konwencji rozgromienie , jest nadal w pełni obsługiwany.

Zalecana: