1
我在閱讀POST被認爲是安全的,並且沒有得到,並且我們應該在每個控制器的每個動作中實現[ValidateAntiForgeryToken]。ValidateAntiForgeryToken是否使用POST自動實現?
問題是:當我使用[POST]時,是否需要使用[ValidateAntiForgeryToken]數據註釋?
A
回答
3
它默認關閉。
這有很好的理由。並非每一個崗位都有來自一個形式(尤其如此,因爲你的問題被標記asp.net-core)
你應該如果您使用的表單標籤助手與[ValidateAntiForgeryToken]
[ValidateAntiForgeryToken]
public IActionResult Post(Model model)
{
// ... etc
}
裝飾你的控制器動作,它會自動將反僞造令牌添加到<form>標記中。
產生看起來像的標記:
<form action="/MyController" method="post">
<input name="__RequestVerificationToken" type="hidden" value="fhTFfhkKNsdfhYazFtN6c4YbZAmsEwG0srqlUqqloi/OIJOIJoijojhishg" />
<!-- rest of form here -->
</form>
注意:您也可以手動使用表單助手標籤啓用/禁用__RequestVerificationToken代:
<form
asp-controller="MyController"
asp-action="MyAction"
asp-antiforgery="false"
method="post">
+0
我有一個網絡API。我的客戶是Angular4。 –
+0
@JohnDoe對你有好處。你爲什麼用'asp.net-core-mvc'標記你的問題? – Alex
+0
Web API使用MVC。 –
相關問題
- 1. 在C#中使用自動實現的屬性是否正確?
- 2. 使用$ .ajax實現$ .when POST
- 3. 如何是人在使用[ValidateAntiForgeryToken]
- 4. 實現構造函數是否阻止自動移動語義?
- 5. 是否所有實現都會自動傳遞?這是誰?
- 6. 如果發現使用系統實現,否則使用我自己的實現
- 7. 我應該在每個POST請求中使用ValidateAntiForgeryToken嗎?
- 8. 是否可以使用FQL實現friends.getMutualFriends?
- 9. 是否將ReentrantReadWriteLock實現爲自旋鎖?
- 10. 是否可以實現自己的IASKSettingsReader?
- 11. 是否可以實現[]我自己並在C#中使用它?
- 12. 是否可以使用Phonegap在iOS上實現視頻自動播放?
- 13. 使用OSGi實現自動更新
- 14. 使用Solr實現自動完成
- 15. 使用gcc實現自動矢量化?
- 16. 使用VFL在iOS中實現自動佈局實現
- 17. 是否有使用動態的XElement或XDocument的實現?
- 18. 繼承類是否自動從其基類實現接口?
- 19. 我是否真的需要cmake來實現構建自動化?
- 20. Android - ViewHolder模式是否在CursorAdapter中自動實現?
- 21. Xcode4是否具有自動實現創建功能?
- 22. 自動實現的屬性是否有隱含的集合?
- 23. 自動實現的屬性是否支持屬性?
- 24. 可以自動實現的屬性是否有私有集合?
- 25. 是否可以爲Python實現自動錯誤突出顯示?
- 26. 實現自動化
- 27. 自動_ptr實現
- 28. 什麼是自動實現的屬性
- 29. 什麼是C#中的「自動實現」?
- 30. PUT和POST - 它們是否依賴於實現?
不,它沒有自動實現,你需要在你的ActionResult上放置一個屬性。檢查此答案的更多細節https://stackoverflow.com/a/13622061/713789 – Adrian
尚未在官方穩定的分支,但propably它將從2.0 https://github.com/aspnet/Docs/issues/3688 –