我已经安装了AntiCSRF HTTPModule,但我需要将它与ajax一起使用。
令牌字段名称:的RaiseException。
CookieName:__CSRFCOOKIE。
我应该使用Ajax POST手动发送令牌字段值或有别的事要做?
由于我们在这里使用cookie,任何人都不能创建具有相同名称和相同值的cookie,并将隐藏字段中显示的值发送到服务器并获取数据,或者对此有一些限制? !
谢谢与ajax一起使用AntiCSRF
2
A
回答
0
我不熟悉您使用的特定反CSRF模块。 ASP.Net中内置了反CSRF支持,但它与AJAX相斗争。
大多数网站使用安全的仅HTTP cookie进行身份验证。所有的浏览器支持同源策略这意味着只有创建Cookie的网站可以访问它。
CSRF攻击是有效的,因为黑客无需查看cookie,因为用户的浏览器会将它们连同任何请求一起发送到您的网站。因此,黑客创建了将数据发送到你的网站上的表单:
<form action="yoursite.com/userAdmin/Create">
<input type="text" name="username" value="hackerUser" />
<input type="text" name="rights" value="godlike" />
...
</form>
黑客是不是在您的网站管理员,但他们可以欺骗谁把做的东西为他们的用户。
大多数反CSRF保护工作方式相同:通过要求POST-ed表单数据具有网站可以访问的额外令牌,但黑客无法恶搞。
因此.Net的默认实现添加一个带有令牌的cookie,隐藏输入中的相同标记,然后检查它们是否匹配。黑客无法看到cookie,所以无法重现隐藏的输入。
这是问题的AJAX调用的原因有两个:
- 净生成令牌作为隐藏输入标签,这意味着一些JavaScript是需要获取到AJAX调用。
- 净兑令牌检查假定它是一个表单输入,这意味着JSON调用传递它的格式不正确。
这听起来像你需要做的是手动添加令牌的字段名称的值到AJAX调用,并确保您发送表单数据。
相关问题
- 1. 与nodeJs一起使用ajax
- 2. 与AJAX一起使用webpy
- 3. DOJO和AJAX与Struts2一起使用
- 4. 关闭不与Ajax一起使用
- 5. 一起使用JSON和Ajax
- 6. 如何使用getql方法与graphql一起使用ajax?
- 7. 建议一个好的Ajax框架与Spring/java一起使用?
- 8. Ajax和GridView-Fu - 如何使AccordionPanes与GridView一起使用?
- 9. -forwardInvocation与Clang-LLVM一起使用,但不与GCC一起使用
- 10. Ajax调用不能与Jquery 1.7.2一起使用?
- 11. 与Recaptcha一起使用时,Ajax调用无法正常工作
- 12. 如何使Ajax与Ajax一起工作UpdatePanel
- 13. acts_as_follower与ajax不起作用
- 14. Yii框架:CListView ajax分页与CArrayDataProvider一起使用时不起作用
- 15. 模型formset不能与Ajax一起使用吗?
- 16. Ajax不能与jQuery Flip一起使用!插件
- 17. 我该如何让JavaScript与htm l一起使用ajax加载
- 18. Jquery Ajax不能与Zend Framework-Json一起使用返回parsererror
- 19. 窗体上的必需属性不能与ajax一起使用?
- 20. 如何将jQuery Ajax和PageMethods与实例变量一起使用?
- 21. Jquery表单验证不能与Ajax一起使用提交
- 22. 在ASP.Net MVC中,ModelState可以与ajax更新一起使用吗?
- 23. 返回承诺与ajax对象一起使用
- 24. Ajax GET请求不能与Flask一起使用
- 25. 与JSONP一起使用jQuery/AJAX时没有反应
- 26. 为什么这个ajax动作不能与requestScope一起使用?
- 27. 与ajax和jQuery一起使用JavaScript的好处是什么?
- 28. Bootstrap折叠不能与Ajax创建的内容一起使用
- 29. 与AJAX一起使用php文件的最佳做法
- 30. PHP $ _SESSION不能与Fancybox AJAX一起使用cal
任何人,任何事!? – 2011-05-02 13:05:44