CSRF(跨網站請求偽造),簡單的說就是尤其他的位置Post偽造資料請求的攻擊,較詳細的解說可參考http://en.wikipedia.org/wiki/Cross-site_request_forgery。
NET MVC 4可使用ValidateAntiForgery來防止CSRF攻擊,僅限Post,其原理只是在Return View時計算出一組Token並帶到頁面上,在Post時會去比對這組Token,使用方法很簡單。
在View(or Templates or Partial)中的Form裡面加入@Html.AntiForgeryToken(在此使用的是Razor語法,若是使用Aspx只要將@去掉並以<% ... %>包起來即可)。
接著在Form Sumit的目標Action上加上[ValidateAntiForgeryToken]這個屬性(若是Action上有這個屬性,但View沒有,會出現Error)。
以上兩個步驟即完成針對CSRF攻擊安全性的提升。
文章標籤
全站熱搜
Technology (30)