Question

Безопасны ли страницы, сгенерированные бета-шаблонами ASP.NET MVC 4, от подделки межсайтовых запросов?

В частности, представление «Редактирование» и действие контроллера генерируются «Контроллером с действиями чтения / записи ипредставления, использующие EntityFramework "защищен от CSRF?

Изучая HTML-код, сгенерированный формой редактирования, я не вижу скрытое поле или другой способ реализации токена защиты от подделки.

Я что-то упустил или пример по умолчанию небезопасен?

danludwig · Answer 1 · 01 апреля 2012

Вам необходимо явно реализовать токен защиты от подделки.

В представлении:

@using (Html.BeginForm(...
{
    @Html.AntiForgeryToken()
    ...
}

В контроллере

[HttpPost]
[ValidateAntiForgeryToken]
public ActionResult MyAction(MyViewModel model)
{
    ...

Вы всегда можете создать пользовательский T4шаблоны для создания этого для вас, но нет, готовые шаблоны не делают это по умолчанию.

Безопасны ли шаблоны редактора бета-версии ASP.NET MVC 4 от CSRF?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Безопасны ли шаблоны редактора бета-версии ASP.NET MVC 4 от CSRF?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы