Question

Следует ли применять AntiForgeryToken к каждому пост-действию в приложении ASP.NET MVC? Вдобавок ко всему, я не могу придумать причину, по которой вы не захотите хотеть включать это в каждое действие после публикации, но кажется, что никто никогда не рекомендует использовать это во всех ваших действиях.

Мне бы очень хотелось услышать ваши мысли.

tvanfosson · Answer 1 · 10 февраля 2010

Я всегда использую его для действий POST / DELETE / PUT. Я хочу быть как можно более уверенным в том, что запрос поступает со страницы, которую мой сервер отправил в браузер, когда я в результате меняю данные.

Richard · Answer 2 · 10 февраля 2010

Чтобы не добавлять маркер защиты от подделки в форму, необходимо быть полностью уверенным, что не существует возможности межсайтовой (или другой) атаки. И что такое приложение не будет найдено в будущем для этого случая.

С другой стороны, есть ли существенный недостаток наличия токена?

Похоже, что не всегда делать это будет больше (умственных) усилий, чтобы найти эти случаи "без риска".

Следует ли применять AntiForgeryToken к каждому действию после публикации?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Следует ли применять AntiForgeryToken к каждому действию после публикации?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов