Javascript 默认情况下,MVC应用反伪造令牌
ASP.NET MVC默认情况下不应用antiforgery令牌,因此每次都必须手动应用,这是一个潜在的安全问题 我正在考虑在默认情况下用一些javascipt来应用防伪药。这会导致安全问题吗?还是有更好的解决方案 1) 在页面上以所有可能的形式添加令牌。这是通过在主布局中添加以下脚本实现的Javascript 默认情况下,MVC应用反伪造令牌,javascript,asp.net-mvc,security,antiforgerytoken,Javascript,Asp.net Mvc,Security,Antiforgerytoken,ASP.NET MVC默认情况下不应用antiforgery令牌,因此每次都必须手动应用,这是一个潜在的安全问题 我正在考虑在默认情况下用一些javascipt来应用防伪药。这会导致安全问题吗?还是有更好的解决方案 1) 在页面上以所有可能的形式添加令牌。这是通过在主布局中添加以下脚本实现的 <script> var csrfToken = '@Html.AntiForgeryToken()'; $(document).ready(function () {
<script>
var csrfToken = '@Html.AntiForgeryToken()';
$(document).ready(function () {
$("form").append(csrfToken);
});
</script>
var csrfToken='@Html.AntiForgeryToken()';
$(文档).ready(函数(){
$(“表格”).append(csrfToken);
});
2) 验证每个帖子上的令牌:
我要成为那个人。。。。您真的需要在每个请求上验证此令牌吗?大多数人只在POST方法上使用它来防止CSRF(假设他们正确使用POST vs GET)。事实上,只有在POST请求上才使用它