Comment « ValidateAntiForgeryToken » protège-t-il les applications MVC 4 contre les attaques CSRF ?-C++-php.cn

Comment « ValidateAntiForgeryToken » protège-t-il les applications MVC 4 contre les attaques CSRF ?

Patricia Arquette

Libérer： 2024-12-30 07:38:10

original

907 Les gens l'ont consulté

How Does `ValidateAntiForgeryToken` Protect MVC 4 Applications from CSRF Attacks?

ValidateAntiForgeryToken : objectif, explication et exemple dans MVC 4

Comprendre l'attribut ValidateAntiForgeryToken est crucial pour protéger vos applications MVC 4 contre les attaques de falsification de demande de site (CSRF). Cet attribut joue un rôle important dans l'atténuation des vulnérabilités de sécurité et dans la garantie de l'intégrité des interactions des utilisateurs.

Objectif de ValidateAntiForgeryToken

L'attribut ValidateAntiForgeryToken offre une protection contre les attaques CSRF. CSRF est un type d'attaque dans lequel un utilisateur non autorisé manipule le navigateur Web d'un utilisateur authentifié pour soumettre une requête à votre application. Le navigateur de la victime peut être amené à soumettre des informations sensibles ou à effectuer des actions que la victime n'avait pas l'intention de faire.

Fonctionnalité de ValidateAntiForgeryToken

ValidateAntiForgeryToken implémente un mécanisme de protection basé sur des jetons. Cela fonctionne en générant un jeton unique et en le stockant dans un cookie HTTP uniquement. Le même jeton est également ajouté en tant que champ masqué dans les formulaires soumis au serveur. Lorsque le formulaire est soumis, l'attribut valide si le jeton dans le cookie correspond au jeton dans le formulaire. S'ils ne correspondent pas, la demande est rejetée pour atténuer l'attaque CSRF.

Comment utiliser ValidateAntiForgeryToken

Pour utiliser l'attribut ValidateAntiForgeryToken, suivez ces étapes :

Décorez la méthode d'action ou le contrôleur avec l'attribut [ValidateAntiForgeryToken]. Cela garantit que toutes les demandes d'action nécessitent une protection CSRF.
Placez un appel à @Html.AntiForgeryToken() dans les formulaires qui publient l'action protégée. Le champ masqué généré par cet appel contient le token qui sera validé par l'attribut.

Exemple

Considérons l'exemple suivant :

[ValidateAntiForgeryToken]
public ActionResult CreatePost(Post post)
{
    // ...
}

Copier après la connexion

@using (Html.BeginForm("CreatePost", "Posts", FormMethod.Post))
{
    @Html.AntiForgeryToken()

Copier après la connexion

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!