ASP.NET MVC表单提交和CSRF提交

最新推荐文章于 2021-08-06 16:57:58 发布
原创 最新推荐文章于 2021-08-06 16:57:58 发布 · 899 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了ASP.NET中的表单验证机制,包括ValidateInput属性的使用、防止CSRF攻击的@Html.AntiForgeryToken()方法,以及如何实现用户角色验证。同时,通过实例展示了如何自定义角色验证逻辑,并探讨了子窗体的概念及其应用。
1:表单验证 


[ValidateInput]


 //[ValidateInput(true)]//默认为真表示阻止脚本提交


 //[ValidateInput]//允许表单脚本提交
        public ActionResult test()
        {
            //设置登录
            FormsAuthentication.SetAuthCookie("aaa", false);


            return View();
        }


2:CSRF攻击(远程表单非法提交)


[ValidateAntiForgeryToken]


HTML界面:


@using (Html.BeginForm("default1", "test", FormMethod.Post))
{  
    @Html.AntiForgeryToken()  
    <input id="Submit1" type="submit" value="submit" />
}
<a href="default2">连接</a>


CS界面


         [HttpPost]
        [ValidateAntiForgeryToken]
        public ActionResult default1()
        {
            return View();
        } 


3:用户角色验证


[Authorize]


一般我们都是自定义角色验证


CS——model代码


 public class MyAuthAttribute : AuthorizeAttribute
    {
        // 只需重载此方法,模拟自定义的角色授权机制   
        protected override bool AuthorizeCore(HttpContextBase httpContext)
        {
            string currentRole = GetRole(httpContext.User.Identity.Name);
            if (Roles.Contains(currentRole))
                return true;
           // return false;
             return base.AuthorizeCore(httpContext);
        }


        // 返回用户对应的角色, 在实际中, 可以从SQL数据库中读取用户的角色信息   
        private string GetRole(string name)
        {
            switch (name)
            {
                case "aaa": return "User";
                case "bbb": return "Admin";
                case "ccc": return "God";
                default: return "Fool";
            }
        }
    }


cs代码Controllers


   public ActionResult test() 
        {
            //模拟表单登录
            FormsAuthentication.SetAuthCookie("aaa", false);  


            return View();
        }


 


 [MyAuth]
        public ActionResult default2()
        {
           
            return View();
        }


4:子窗体(嵌入窗体)


[ChildActionOnly]


CS代码:


 [ChildActionOnly]
        public ActionResult default1()
        {
            return PartialView();
        }


HTML代码:


@using (Html.BeginForm())
{
    @Html.Action("default1");


蓝魔鬼仙
关注
asp html表单没有csrf保护,ASP.NET MVC 网页中的 XSRF/CSRF 防护
weixin_31849853的博客
06-28 578
ASP.NET MVC 网页中的 XSRF/CSRF 防护03/14/2013本文内容跨站点请求伪造(也称为 XSRF 或 CSRF)是一种针对 Web 托管型应用程序的攻击,恶意网站凭此可以影响客户端浏览器与受该浏览器信任的网站之间的交互。 这些攻击出现的原因可能是 Web 浏览器针对每一个对网站的请求自动发送身份验证令牌。 典型示例是身份验证 cookie,如 ASP.NET表单身份验证...
ASP.NET MVC下Ajax.BeginForm方式无刷新提交表单实例
10-18
这些方法与传统的*** MVC表单控件生成方式相同,它们将表单的输入绑定到模型(Model)的属性上。开发者可以在控制器中定义相应的Action来接收这些提交表单数据。 此外,值得注意的是,在某些场景下,业务逻辑对...
MVC Html.AntiForgeryToken() 防止CSRF攻击
weixin_30709635的博客
07-10 143
MVC中的Html.AntiForgeryToken()是用来防止跨站请求伪造(CSRF:Cross-site request forgery)攻击的一个措施,它跟XSS(XSS又叫CSS:Cross-Site-Script),攻击不同,XSS一般是利用站内信任的用户在网站内插入恶意的脚本代码进行攻击,而CSRF则是伪造成受信任用户对网站进行攻击。 举个简单例子,譬如整个系统的公...
ajax防止csrf攻击,ASP.NET MVC ajax提交 防止CSRF攻击
weixin_42126749的博客
08-06 251
//在View中@functions{public string ToKenHeaderValue(){string cookieToken,fromToken;AntiForgery.GetTokens(null,out cookieToken,out fromToken);return cookieToken+":"+fromToken;}}$function({......$.ajax("...
Asp.Net MVC之防止用户注入脚本参数
weixin_30273763的博客
07-13 241
假设有一个Controller,代码如下: public string Browse(string genre) { string message = "Store.Browse, Genre = " + genre; return message; } 当用户输入http://localhost:5412/Store/Browse?genre=<scri...
ASP.NET MVC提交表单的几种方式(验证+提交+后台接收)
qq_40890601的博客
06-16 3487
原生提交方式 也就是在form标签上添加action属性 验证 验证非空直接在input标签上添加required属性(h5),这个属性必须type="submit"的按钮搭配起来用,如果button的type不是submit,那这个required是没有意义的。 验证其他(使用正则表达式或者长度限制时)使用onsubmit属性。onsubmit返回false不提交表单,返回true表示提交表单。 原生提交方式的验证有两种 在form标签下添加onsubmit="return functionName
ASP.NET编程知识】浅谈ASP.NET MVC 防止跨站请求伪造(CSRF)攻击的实现方法.docx
05-21
浅谈 ASP.NET MVC 防止跨站请求伪造(CSRF)攻击的...本文档对 ASP.NET MVC 中防止跨站请求伪造(CSRF)攻击的实现方法进行了详细的探讨,并提供了一个示例来演示 CSRF 攻击的原理危害,以及防止 CSRF 攻击的方法。
浅谈ASP.NET MVC 防止跨站请求伪造(CSRF)攻击的实现方法
10-18
*** MVC框架提供了一种内建的机制来防范CSRF攻击,即通过生成验证防伪令牌(Antiforgery Token)。 1. 在View中使用Html.AntiForgeryToken() 开发者在视图文件(.cshtml)中调用Html.AntiForgeryToken()方法,在...
inspinia_admin2.7 asp.net mvc5
11-16
- ASP.NET MVC5是微软提供的一个开源Web应用程序框架,用于构建可维护性测试驱动的Web应用。它采用Model-View-Controller(MVC)设计模式,分离了业务逻辑、数据模型用户界面。 - MVC5支持身份验证授权,...
asp html表单没有csrf保护,CSRFASP.NET Core中的处理方法详解
weixin_39857792的博客
06-28 653
前言前几天,有个朋友问我关于AntiForgeryToken问题,由于对这一块的理解也并不深入,所以就去研究了一番,梳理了一下。在梳理之前,还需要简单了解一下背景知识。AntiForgeryToken 可以说是处理/预防CSRF的一种处理方案。那么什么是CSRF呢?CSRF(Cross-site request forgery)是跨站请求伪造,也被称为One Click Attack或者Sessi...
xsrf form html,asp.net mvc - HTML form without CSRF protection alert (Acunetix) - Stack Overflow
weixin_32175665的博客
06-10 307
I use in my form @Html.AntiForgeryToken() and in action I use [ValidateAntiForgeryToken] attribute but when test my site by Acunetix get this error :HTML form without CSRF protectionhtml :جستجوی خود...
MVC防止CSRF攻击
weixin_34087301的博客
07-13 145
可能我们大多数人做web的时候不会太注意这个问题,但是这是一个很重要的一个点。我们写代码写业务的时候也应该从各方面多思考。 首先就是先简单介绍下什么是CSRF CSRF 全程是 Cross-site request forgery 中文意思就是跨站请求伪造。跨站脚本XSS不同,XSS的特点是利用站内受信任的用户,将代码植入到提供给其它用户使用的页面中,但是CSRF的特点是利用你的身份去做一些...
asp.net 网站 防止CSRF攻击 使用 ValidateAntiForgeryToken
LYBWWP
10-21 745
.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。 三.CSRF漏洞现状   
springMVC表单标签 <form:select>如何禁用下拉列表
xun573017588的专栏
07-26 3403
如何如何禁用下拉列表 这种方式是不可以禁止的: 正确的应该是这样:
HTML form without CSRF protection,HTML表单没有CSRF保护
收集盒 Book box
07-18 6937
HTML form without CSRF protection =HTML表单没有CSRF保护  CSRF是伪造客户端请求的一种攻击,CSRF的英文全称是Cross Site Request Forgery,字面上的意思是跨站点伪造请求。这种攻击方式是国外的安全人员于2000年提出,国内直到06年初才被关注,早期我们使用过CSRF攻击实现了DVBBS后台的SQL注射,同时网上也出现过动易后台
mvc2 在 .net 4.0 下的ValidateInput(false) 无效
restraint的专栏
08-30 4522
msdn说明如下:   RequestValidationMode 属性指定要使用的 ASP.NET 验证方法。 这可以是在 ASP.NET 版本(早于版本 4)中或在 .NET Framework 4 版 中使用的版本中使用的算法。可以将属性设置为下列值:   4.0(默认)。 HttpRequest 对象在内部设置一个标志,该标志指示每当访问 HTTP
[ValidateInput(false)]
weixin_30666401的博客
06-25 361
[ValidateInput(false)]或<httpRuntimerequestValidationMode="2.0"/> 转载于:https://www.cnblogs.com/tgdjw/p/4601018.html
[HttpPost] [ValidateInput(false)] 在HTML代码中添加@符号意义
21号先锋者
02-22 1959
1. [HttpPost] [HttpPost]表示一个特性,该特性用于限制操作方法,以便该方法仅处理HTTP POST请求。具体来讲,就是在对于MVC Controller中的方法,如果你希望该方法只能通过前台表单的Post方式来访问并且传输的话,通过添加[HttpPost]注解即可实现,这样,该方法就不会通过Get方法进行请求,限制了该操作方法的请求类型 2.[ValidateInput(...
ValidateInput()方法
66
02-16 9623
<br />HttpRequest 类使用输入验证标志来跟踪是否对通过 Cookies、Form QueryString 属性访问的请求集合执行验证。ValidateInput 方法设置这些标志,以便在调用 Cookies、Form 或 QueryString 属性的 get 访问器时执行输入验证。验证的工作原理是,将所有输入数据与具有潜在危险的数据的硬编码列表进行对照检查。
ASP.NET MVC防范CSRF攻击策略详解
"本文介绍了ASP.NET MVC中防止跨站请求伪造(CSRF)攻击的实现方法,包括使用AntiForgeryToken标记[ValidateAntiForgeryToken]注解的原理及重要性。" 在Web应用程序的安全领域,跨站请求伪造(CSRF)是一种常见的...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值