Html.AntiForgeryToken() 防止CSRF攻击 的AJaX应用

最新推荐文章于 2021-08-06 10:21:36 发布
转载 最新推荐文章于 2021-08-06 10:21:36 发布 · 146 阅读 · 0

本文介绍了一种在不修改所有AJAX请求的情况下,通过拦截并自动添加AntiForgeryToken的方法,确保了在使用POST方法时能够正确地传递防伪请求令牌,提高了网站的安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

有关Html.AntiForgeryToken()的使用其实网上的说明很多了,比如http://blog.youkuaiyun.com/cpytiger/article/details/8781457

那么我们写的AJAX调用怎么办了,难道需要修改所有的ajax请求数据吗?我个人比较懒惰喜欢写一个通用的代码.其实原理很简单就是拦截ajax请求,然后追加自己的数据.注意在ajax传输数据的时候可以是String/object,所以这里需要处理一下:

if (typeof data !== "string") {
data = $.param(data);
}

一般我们都是在ready方法中拦截指定方法:

        var oldajax = $.ajax;
        $.ajax = function () {
            var len = arguments.length;
            for (var i = 0; i < len; i++) {
                var data = arguments[i].data;
                var type = $.trim(arguments[i].type);
                type = type.toLowerCase();
                if (data && type=="post") {
                    var tokenstr = $(document.getElementsByName("__RequestVerificationToken")).val();
                    if (typeof data !== "string") {
                        data = $.param(data);
                    }
                    data = data + "&__RequestVerificationToken=" + tokenstr;
                    arguments[i].data = data;
                }
            }
            oldajax.apply(null, arguments);
        }

全部的js code 如下:

 $(function () {
        var oldajax = $.ajax;
        $.ajax = function () {
            var len = arguments.length;
            for (var i = 0; i < len; i++) {
                var data = arguments[i].data;
                var type = $.trim(arguments[i].type);
                type = type.toLowerCase();
                if (data && type=="post") {
                    var tokenstr = $(document.getElementsByName("__RequestVerificationToken")).val();
                    if (typeof data !== "string") {
                        data = $.param(data);
                    }
                    data = data + "&__RequestVerificationToken=" + tokenstr;
                    arguments[i].data = data;
                }
            }
            oldajax.apply(null, arguments);
        }

        $('#btn1').click(function () {
            $.ajax({
                type: "POST",
                url: "home/SecurityPost",
                // data: "name=John&location=Boston",
                data: { "name": "John", "location": "Boston" },
                success: function (msg) {
                    alert("Data Saved: " + msg);
                }
            });

        });


    });
View Code

 

C# Web防御CSRF的三重盾牌:如何让黑客的“钓鱼邮件”变成“自投罗网”?
java专栏
03-18 1833
的三连招,让CSRF攻击变成“自投罗网”!
asp html表单没有csrf保护,ASP.NET MVC 和网页中的 XSRF/CSRF 防护
weixin_31849853的博客
06-28 552
ASP.NET MVC 和网页中的 XSRF/CSRF 防护03/14/2013本文内容跨站点请求伪造(也称为 XSRF 或 CSRF)是一种针对 Web 托管型应用程序的攻击,恶意网站凭此可以影响客户端浏览器与受该浏览器信任的网站之间的交互。 这些攻击出现的原因可能是 Web 浏览器针对每一个对网站的请求自动发送身份验证令牌。 典型示例是身份验证 cookie,如 ASP.NET 的表单身份验证...
ajax中加上AntiForgeryToken防止CSRF攻击
weixin_34384915的博客
10-16 314
经常看到在项目中ajax post数据到服务器不加防伪标记,造成CSRF攻击 在Asp.net Mvc里加入防伪标记很简单在表单中加入Html.AntiForgeryToken()即可。 Html.AntiForgeryToken()会生成一对加密的字符串,分别存放在Cookies 和 input 中。 我们在ajax post中也带上AntiForgeryToken   @mo...
记得ajax中要带上AntiForgeryToken防止CSRF攻击
weixin_30279315的博客
10-16 235
经常看到在项目中ajax post数据到服务器不加防伪标记,造成CSRF攻击 在Asp.net Mvc里加入防伪标记很简单在表单中加入Html.AntiForgeryToken()即可。 Html.AntiForgeryToken()会生成一对加密的字符串,分别存放在Cookies 和input 中。 我们在ajax post中也带上AntiForgeryToken @mode...
jquerx发送ajax,如何通过jquery ajax发送AntiForgeryToken(CSRF)和FormData
weixin_39884412的博客
08-06 315
所以我想通过AJAX POST与fileUpload一起使用AntiForgeryToken.这是我的代码:视图@using (Html.BeginForm("Upload", "RX", FormMethod.Post, new {id = "frmRXUpload", enctype = "multipart/form-data"})){@Html.AntiForgeryToken()@Htm...
@html.antiforgerytoken() 原理,如何包括@ Html.AntiForgeryToken()使用删除链接
weixin_36168780的博客
06-03 629
您需要使用Html.AntiForgeryToken助手来设置一个cookie,并发出一个隐藏字段具有相同的值。发送AJAX请求时,您还需要将此值添加到POST数据。所以我会用一个正常的链接,而不是一个Ajax链接:@Html.ActionLink("Delete","Delete","LabTest",new {id = item.LabTestID},new {@class = "delete...
Html.AntiForgeryToken() 防止CSRF攻击AJaX应用
dz45693的专栏
11-21 4223
有关Html.AntiForgeryToken()的使用其实网上的说明很多了,比如http://blog.csdn.net/cpytiger/article/details/8781457 那么我们写的AJAX调用怎么办了,难道需要修改所有的ajax请求数据吗?我个人比较懒惰喜欢写一个通用的代码.其实原理很简单就是拦截ajax请求,然后追加自己的数据.注意在ajax传输数据的时候可以
使用ASP.NET Core,JavaScript和Angular防止CSRF攻击
04-11
在ASP.NET Core、JavaScript和Angular开发的Web应用中,防止CSRF攻击是至关重要的。本文将详细探讨如何在这些技术栈中实施有效的防护措施。 **ASP.NET Core中的CSRF防护** ASP.NET Core提供了一种内置的CSRF防护...
anticsrfCSRF预防库的示例用法
02-02
总之,anticsrf库为ASP.NET开发者提供了一种强大而方便的工具来防止CSRF攻击。通过正确地生成和验证CSRF令牌,可以有效地保护用户免受恶意操作的威胁。在实际项目中,理解并熟练运用这些技术至关重要,因为安全始终...
CSRF在ASP.NET Core中的处理方法详解
10-18
总之,ASP.NET Core提供了强大的工具来防御CSRF攻击,通过在视图中生成和在控制器中验证AntiForgeryToken,可以有效地保护应用程序免受此类威胁。然而,为了确保安全,开发者还应该遵循最佳实践,如使用HTTPS、限制...
@Html.AntiForgeryToken() 源码分析,表单防伪码的生成
weixin_30430169的博客
01-17 898
源码来自MVC4@Html.AntiForgeryToken() 源码分析 public MvcHtmlString AntiForgeryToken() { return new MvcHtmlString(AntiForgery.GetHtml().ToString()); } AntiForgery源自System.Web.Helpers.AntiForgery ...
.net 常用认证方法 forgery token 认证
sqlpeng的博客
12-04 982
常用的在 asp .net 与 MVC .net中常用的就是 from 认证 与 Windows认证。 对于form认证, 我们需要在web.config下面 system.web节点 加入认证配置。 在需要认证的方法 或者 class上面,使用 Authorize 属性方法,不需要认证可以用AllowAnony
MVC Html.AntiForgeryToken() 防止CSRF攻击
热门推荐
cpytiger的专栏
04-10 5万+
(一)MVC Html.AntiForgeryToken() 防止CSRF攻击 MVC中的Html.AntiForgeryToken()是用来防止跨站请求伪造(CSRF:Cross-site request forgery)攻击的一个措施,它跟XSS(XSS又叫CSS:Cross-Site-Script),攻击不同,XSS一般是利用站内信任的用户在网站内插入恶意的脚本代码进行攻击,而CSRF则是
Ajax使用AntiForgeryToken,记录一下
ayanamireizero的专栏
08-28 1159
AddAntiForgeryToken = function (data) { data.__RequestVerificationToken = $('input[name=__RequestVerificationToken]').val(); return data; };
Shiro - web应用
12-05 147
先不谈Spring,首先试着用最简易的方式将Shiro集成到web应用。 即使用一些Servlet ContextListener、Filter、ini这些简单的配置完成与web应用的集成。   web.xml:      org.apache.shiro.web.env.EnvironmentLoaderListener         shiroEnvironmentClass
ASP.NET中防止CSRF攻击的有效方法
在网络安全领域,防止跨站请求伪造(CSRF攻击是一种至关重要的措施,尤其是对于使用ASP.NET技术构建的Web应用程序。CSRF攻击是一种常见的网络攻击方式,攻击者利用用户对某个网站的信任,诱使用户在已经认证的状态...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值