我有一个强化结果说,以下行需要一个秘密来防止CSRF
<form id ="form1test1" runat="server">
我在页面加载时生成了一个随机的GUID,我希望在表单发布时对它进行比较。
我在经典的asp中看到将令牌放在动作中作为查询字符串
我在尝试:
<form "form1test1" runat="server"
action='<%# string.Concat(Eval("login.aspx/?Token="),"",Eval(Session["Token"].ToString()))%> '> >
我得到的最好的是文本的打印但不是值,不在后面的代码中执行此操作并不能解决强化尝试类似的问题
<form "form1test1" runat="server" action="login.aspx/?Token=12345DEF">
防止CSRF攻击(它正在处理我的项目)的更好方法是在您的母版页中实现它,如下所示:
添加将为您处理CSRF验证的新类:
public class CsrfHandler
{
public static void Validate(Page page, HiddenField forgeryToken)
{
if (!page.IsPostBack)
{
Guid antiforgeryToken = Guid.NewGuid();
page.Session["AntiforgeryToken"] = antiforgeryToken;
antiforgery.Value = antiforgeryToken.ToString();
}
else
{
Guid stored = (Guid)page.Session["AntiforgeryToken"];
Guid sent = new Guid(antiforgery.Value);
if (sent != stored)
{
// you can throw an exception, in my case I'm just logging the user out
page.Session.Abandon();
page.Response.Redirect("~/Default.aspx");
}
}
}
}
然后在您的母版页中实现:
MyMasterPage.Master.cs:
protected void Page_Load(object sender, EventArgs e)
{
CsrfHandler.Validate(this.Page, forgeryToken);
...
}
MyMaster.Master:
<form id="form1" runat="server">
<asp:ScriptManager ID="ScriptManager1" runat="server"></asp:ScriptManager>
<asp:HiddenField ID="forgeryToken" runat="server"/>
...
</form>
希望你会发现这很有用。