自动反伪造令牌验证MVC应用程序

本文关键字:验证 MVC 应用程序 令牌 伪造 | 更新日期: 2023-09-27 17:52:38

是否有一种方法可以自动对控制器上的所有HTTP post方法进行[ValidateAntiForgeryToken]注释,而无需显式定义它?

以及是否有一种方法可以扩展MVC Html.BeginForm() helper以始终包含防伪造令牌?

,最后,这样做的目的是保持整个应用程序的一致性,在某些情况下,有理由不这样做吗?

自动反伪造令牌验证MVC应用程序

我自己在研究这个话题,并在下面和这里编译了完整的解决方案。它由AntiForgeryTokenFilterProviderBeginSecureForm辅助法两部分组成。它还允许跳过对DisableAntiForgeryCheckAttribute的单个操作的验证。

public class AntiForgeryTokenFilterProvider : IFilterProvider
{
    public IEnumerable<Filter> GetFilters(ControllerContext controllerContext, ActionDescriptor actionDescriptor)
    {
        IEnumerable<FilterAttribute> filters = actionDescriptor.GetFilterAttributes(true);
        bool disableAntiForgery = filters.Any(f => f is DisableAntiForgeryCheckAttribute);
        string method = controllerContext.HttpContext.Request.HttpMethod;
        if (!disableAntiForgery
            && String.Equals(method, "POST", StringComparison.OrdinalIgnoreCase))
        {
            yield return new Filter(new ValidateAntiForgeryTokenAttribute(), FilterScope.Global, null);
        }
    }
}
[AttributeUsage(AttributeTargets.Method)]
public sealed class DisableAntiForgeryCheckAttribute : FilterAttribute
{
}
// Usage:
public class FilterConfig
{
    public static void RegisterGlobalFilters(GlobalFilterCollection filters)
    {
        //**//
        FilterProviders.Providers.Add(new AntiForgeryTokenFilterProvider());
        //**//
    }
}
// Html Helper method
public static class HtmlExtensions
{
    public static MvcForm BeginSecureForm(this HtmlHelper html, string action, string controller)
    {
        var form = html.BeginForm(action, controller);
        html.ViewContext.Writer.Write(html.AntiForgeryToken().ToHtmlString());
        return form;
    }
}
相关文章: