欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

ASP.NET Core 2.0中Razor頁(yè)面禁用防偽令牌驗(yàn)證

 更新時(shí)間:2018年01月31日 08:59:33   作者:Sweet-Tang  
在這篇短文中,我將向您介紹如何ASP.NET Core2.0 Razor頁(yè)面中禁用防偽令牌驗(yàn)證,對(duì)此有興趣的朋友參考學(xué)習(xí)下吧。

在這篇短文中,我將向您介紹如何ASP.NET Core Razor頁(yè)面中禁用防偽令牌驗(yàn)證。

Razor頁(yè)面是ASP.NET Core 2.0中增加的一個(gè)頁(yè)面控制器框架,用于構(gòu)建動(dòng)態(tài)的、數(shù)據(jù)驅(qū)動(dòng)的網(wǎng)站;支持跨平臺(tái)開(kāi)發(fā),可以部署到Windows,Unix和Mac操作系統(tǒng)。

跨站點(diǎn)請(qǐng)求偽造(也稱(chēng)為XSRF或CSRF)是對(duì)Web托管應(yīng)用程序的攻擊,因?yàn)閻阂饩W(wǎng)站可能會(huì)影響客戶(hù)端瀏覽器和瀏覽器信任網(wǎng)站之間的交互。這種攻擊是完全有可能的,因?yàn)閃eb瀏覽器會(huì)自動(dòng)在每一個(gè)請(qǐng)求中發(fā)送某些身份驗(yàn)證令牌到請(qǐng)求網(wǎng)站。這種攻擊形式也被稱(chēng)為 一鍵式攻擊 或 會(huì)話(huà)控制,因?yàn)楣衾昧擞脩?hù)以前認(rèn)證的會(huì)話(huà)。關(guān)于這個(gè)話(huà)題可以看我的另一篇博客:ASP.NET Core 防止跨站請(qǐng)求偽造(XSRF/CSRF)攻擊。

Razor頁(yè)面被設(shè)計(jì)為默認(rèn)啟動(dòng)防跨站請(qǐng)求偽造攻擊的,防偽令牌生成和驗(yàn)證被自動(dòng)包含在Razor頁(yè)面中。但是,在某些情況下,您可能想禁用它。

全局禁用

要在Razor頁(yè)面中全局禁用防偽令牌驗(yàn)證,可以在Startup類(lèi)的ConfigureServices方法中禁用:

public void ConfigureServices(IServiceCollection services)
 {
  services.AddMvc().AddRazorPagesOptions(o=>
  {
   o.Conventions.ConfigureFilter(new IgnoreAntiforgeryTokenAttribute());
  });
 }

這將關(guān)閉整個(gè)應(yīng)用程序的防偽令牌驗(yàn)證。請(qǐng)注意,禁用防偽令牌驗(yàn)證不會(huì)阻止生成隱藏字段或cookie。它只是跳過(guò)驗(yàn)證過(guò)程。

我們知道防偽令牌是通過(guò)FormTagHelper生成的,好在ASP.NET Core MVC提供了全局設(shè)置標(biāo)簽助手的方法:

public void ConfigureServices(IServiceCollection services)
 {
  services.AddMvc().InitializeTagHelper<FormTagHelper>((helper, context) => helper.Antiforgery = false);
 }

所以全局禁用防偽令牌驗(yàn)證的完整代碼如下:

public void ConfigureServices(IServiceCollection services)
 {
  services.AddMvc().AddRazorPagesOptions(o=>
  {
   o.Conventions.ConfigureFilter(new IgnoreAntiforgeryTokenAttribute());
   
  }).InitializeTagHelper<FormTagHelper>((helper, context) => helper.Antiforgery = false);
 }

部分禁用

如果您希望僅禁用特定方法或頁(yè)面模型的驗(yàn)證,包括如下兩個(gè)方法:

1、在Startup類(lèi)的ConfigureServices方法進(jìn)行配置,不過(guò)要提供頁(yè)面的路徑:

public void ConfigureServices(IServiceCollection services)
  {
   services.AddMvc().AddRazorPagesOptions(opotions =>
   {
    opotions.Conventions.AddPageApplicationModelConvention("/demo",
     pageApplicationModel => pageApplicationModel.Filters.Add(new IgnoreAntiforgeryTokenAttribute()));
   });
  }

在此處,我們禁用了 demo 頁(yè)面的防偽令牌驗(yàn)證。

2、在PageModel上面使用標(biāo)記:

[IgnoreAntiforgeryToken(Order = 1001)]
 public class DemoModel : PageModel
 {
  public void OnPost()
  {

  }
 }

ValidateAntiForgeryToken標(biāo)記默認(rèn)的Order屬性為1000,因此IgnoreAntiforgeryToken屬性需要一個(gè)更高的序號(hào)。

上面我們已經(jīng)說(shuō)過(guò)了禁用防偽令牌驗(yàn)證不會(huì)阻止生成隱藏字段或cookie,所以需要禁用FormTagHelper生成令牌。

<form method="post" asp-antiforgery="false">
</form>

關(guān)于這個(gè)話(huà)題就介紹完了,如果您感興趣,不防測(cè)試一下。

相關(guān)文章

最新評(píng)論