ASP.NET MVC 4 Beta编辑器模板对CSRF安全吗

本文关键字:CSRF 安全 编辑器 NET MVC Beta ASP | 更新日期: 2023-09-27 18:29:37

ASP.NET MVC 4 Beta模板生成的页面是否可以安全地防止跨站点请求伪造?

具体而言,"使用EntityFramework进行读/写操作和视图的控制器"生成的"编辑"视图和控制器操作是否受到CSRF的保护?

通过检查Edit表单生成的HTML代码,我看不到隐藏字段或其他实现防伪令牌的方法。

我是遗漏了什么,还是默认示例不安全?

ASP.NET MVC 4 Beta编辑器模板对CSRF安全吗

您需要显式实现防伪令牌。

视图中:

@using (Html.BeginForm(...
{
    @Html.AntiForgeryToken()
    ...
}

在控制器中

[HttpPost]
[ValidateAntiForgeryToken]
public ActionResult MyAction(MyViewModel model)
{
    ...

您可以随时创建自定义T4模板来为您生成此模板,但不可以,开箱即用的模板默认情况下不会执行此操作。

相关文章: