Как предотвратить межсайтовый скриптинг в MVC, когда AJAX-запрос отправляется другим сайтом

Question

У меня есть HTML-форма в MVC ASP.NET, которую пользователь заполняет, и запрос отправляется на сервер [AJAX], а затем мы отправляем им письмо, чтобы проинформировать их. Я использую скрытый ключ для хранения информации на странице.

Я обнаружил, что кто-то изменил ключ, а затем щелкнул, тогда проблема в том, что почта отправляется другим, которые неизвестны для этого случая.

Как я могу быть уверен, что никто не изменяет скрытый ключ и запрос действителен. То, что я хочу сделать этот HTML. antioforeignkey, который подходит для этого.

Но как я могу реализовать антивирусный ключ при отправке AJAX-запроса на сервер.

Есть ли уловки, чтобы решить эту проблему в MVC?

Answer 1

Проверить эту ссылку: http://blog.stevensanderson.com/2008/09/01/prevent-cross-site-request-forgery-csrf-using-aspnet-mvcs-antiforgerytoken-helper/

Эта ссылка поможет при вызовах AntiForgeryToken и Ajax: http://blogs.us.sogeti.com/swilliams/2009/05/14/mvc-ndash-using-antiforgerytoken-over-ajax/

Обязательно добавьте @ Html.AntiForgeryToken () в свою форму, тогда вы можете использовать jQuery для получения этого значения. Со значением вы можете затем добавить его в атрибут данных вашего вызова jQuery Ajax.

var token = $('input[name=__RequestVerificationToken]').val();