【发布时间】:2017-03-29 08:45:42
【问题描述】:
我正在开发一个 ASP.NET MVC 应用程序,并计划使用 AntiForegeryToken 保护每个非 GET 请求(POST、PUT、DELETE 等)。
我已经基于在标头中发送的 [__RequestVerificationToken] 实现了经典 AntiForgery 验证的扩展。这是因为我的大多数调用都是异步的 ($.ajax()),结果我更容易以这种方式发送隐藏字段值。
在 _Layout.cshtml(所有页面的模板)中放置一个 @Html.AntiForgeryToken() 并始终只引用那个是否有意义?
我试图了解这个选项有什么不同并将它放在每种形式中(我没有使用太多,因为我的请求几乎都是异步的),但我没有。
谁能帮我解决这个问题?
谢谢
洛伦佐
【问题讨论】:
标签: ajax asp.net-mvc security csrf antiforgerytoken