「ValidateAntiForgeryToken」は MVC 4 アプリケーションを CSRF 攻撃からどのように保護しますか?

ValidateAntiForgeryToken: MVC 4 の目的、説明、例

ValidateAntiForgeryToken 属性を理解することは、MVC 4 アプリケーションを相互攻撃から保護するために重要です。サイト リクエスト フォージェリ (CSRF) 攻撃。この属性は、セキュリティの脆弱性を軽減し、ユーザー操作の整合性を確保する上で重要な役割を果たします。

ValidateAntiForgeryToken の目的

ValidateAntiForgeryToken 属性は、CSRF 攻撃に対する保護を提供します。 CSRF は、権限のないユーザーが認証されたユーザーの Web ブラウザを操作して、アプリケーションにリクエストを送信する攻撃の一種です。被害者のブラウザはだまされて機密情報を送信されたり、被害者が意図していないアクションを実行したりする可能性があります。

ValidateAntiForgeryToken の機能

ValidateAntiForgeryToken は、トークンベースの保護メカニズムを実装しています。これは、一意のトークンを生成し、それを HTTP 専用 Cookie に保存することによって機能します。同じトークンは、サーバーに送信されたフォームの非表示フィールドとしても追加されます。フォームが送信されると、Cookie 内のトークンがフォーム内のトークンと一致するかどうかが属性によって検証されます。一致しない場合、CSRF 攻撃を軽減するためにリクエストは拒否されます。

ValidateAntiForgeryToken の使用方法

ValidateAntiForgeryToken 属性を使用するには、次の手順に従います。

1. アクション メソッドまたはコントローラーを[ValidateAntiForgeryToken] 属性。これにより、アクションへのすべてのリクエストに CSRF 保護が必要になります。
2. 保護されたアクションに投稿するフォームで @Html.AntiForgeryToken() を呼び出します。この呼び出しによって生成された非表示フィールドには、属性によって検証されるトークンが含まれています。

例

次の例を考えてみましょう:

[ValidateAntiForgeryToken]
public ActionResult CreatePost(Post post)
{
    // ...
}

@using (Html.BeginForm("CreatePost", "Posts", FormMethod.Post))
{
    @Html.AntiForgeryToken()

以上が「ValidateAntiForgeryToken」は MVC 4 アプリケーションを CSRF 攻撃からどのように保護しますか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。