mvc ajax带上AntiForgeryToken防止CSRF攻击

小渣渣

经常看到在项目中ajax post数据到服务器不加防伪标记，造成CSRF攻击，在Asp.net Mvc里加入防伪标记很简单在表单中加入Html.AntiForgeryToken()即可。
Html.AntiForgeryToken()会生成一对加密的字符串，分别存放在Cookies 和 input 中。我们在ajax post中也带上AntiForgeryToken

MVC中的Html.AntiForgeryToken()是用来防止跨站请求伪造(CSRF:Cross-site request forgery)攻击的一个措施,它跟XSS(XSS又叫CSS:Cross-Site-Script),攻击不同,XSS一般是利用站内信任的用户在网 站内插入恶意的脚本代码进行攻击，而CSRF则是伪造成受信任用户对网站进行攻击。

首先，我们视图代码如下：

登录可见。

运行起来，生成的html代码如下：

登录可见。

我们点击test按钮，去请求测试一下，看下是否带上了防伪造的cookie，如下图：



控制器中代码如下：

登录可见。

我们需要每个控制器里面里面加上ValidateAntiForgeryToken特性，如果用户没有带上AntiForgeryToken，我们可以返回给用户一个友好的提示，参考如下：

登录可见。

小渣渣

上面方法，必须自定义特性，不能使用默认的ValidateAntiForgeryToken特性

默认的特性是在form表单里面去取值，然后判断的



自己用jQuery封装了一个post方法，带有防伪造验证的，代码如下：

登录可见。

小渣渣

IsAjaxRequest判断是否是ajax请求

本质上IsAjaxRequest()是判断header里面有没有X-Requested-With字段以及它是否是XMLHttpRequest

看文档没用，要看源代码。

小渣渣

ASP.NET CSRF 攻击Ajax请求封装
https://www.itsvse.com/thread-8077-1-1.html

qianzheshu

testtesttesttest