防止跨站点请求伪造(CSRF)攻击
本文关键字:CSRF 攻击 伪造 请求 站点 | 更新日期: 2023-09-27 17:57:57
我已经阅读了下面的链接,除了一部分之外,我完全理解了。我在链接的评论中问了一个问题,但没有人回应。
http://www.asp.net/web-api/overview/security/preventing-cross-site-request-forgery-(csrf)-攻击
我们在哪里调用"ValidateRequestHeader"?
有人能回答这个问题吗?
取决于您是使用MVC还是WebApi来验证请求。
对于WebApi,我会把它放在一个消息处理程序中。
对于MVC,我会把它放在一个Action Filter中。
这样,请求在到达控制器的操作方法之前就会得到验证,因为这是一个跨领域的问题,只需用属性装饰它,就可以很容易地应用于任何控制器或操作。
MVC已经构建了[ValidateAntiForgeryToken]属性。我认为对于webapi,你需要自己动手。