Comment ValidateAntiForgeryToken empêche-t-il les attaques CSRF dans ASP.NET MVC 4 ?

ValidateAntiForgeryToken : objectif, explication et exemple dans MVC 4

Dans les applications MVC, il est essentiel de se protéger contre les soumissions de formulaires malveillants appelées cross -falsification de demande de site (CSRF). L'attribut ValidateAntiForgeryToken joue un rôle essentiel dans la résolution de ce problème.

Objectif de ValidateAntiForgeryToken

L'attribut ValidateAntiForgeryToken génère un jeton unique qui est stocké dans un cookie HTTP uniquement. Ce même jeton est également ajouté au formulaire en tant qu'entrée masquée. Lorsque le formulaire est soumis, ASP.NET MVC vérifie que la valeur du cookie et la valeur du jeton du formulaire correspondent. S'ils ne correspondent pas, l'appel de la méthode d'action échouera, empêchant la soumission involontaire.

Exemple d'utilisation dans MVC 4

Pour utiliser l'attribut ValidateAntiForgeryToken, vous l'appliquerait aux actions de votre contrôleur ou à l'ensemble du contrôleur comme suit :

[ValidateAntiForgeryToken]
public class HomeController : Controller
{
    ...
}

Dans le formulaire soumis au contrôleur action, vous devez inclure le code suivant :

@using (Html.BeginForm())
{
    @Html.AntiForgeryToken()

    ... (form elements)
}

En implémentant l'attribut ValidateAntiForgeryToken et en appelant @Html.AntiForgeryToken(), vous pouvez protéger votre application MVC contre les attaques CSRF.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!