NetCore Webapi XSRF/CSRF 跨站请求伪造过滤中间件

在.NET Core Web API中，可以使用内置的AntiforgeryToken特性来防御CSRF攻击。以下是一个简单的示例，展示如何在ASP.NET Core Web API中实现XSRF/CSRF保护：

1. 在Startup.cs中配置Antiforgery服务：

public void ConfigureServices(IServiceCollection services)
{
    services.AddControllersWithViews();
    
    // 添加Antiforgery服务
    services.AddAntiforgery(options =>
    {
        // 设置Cookie名称，默认为".AspNetCore.Antiforgery.sCsrf"
        options.HeaderName = "X-XSRF-TOKEN"; // 可以自定义请求头名称
    });
}
 
public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
    // ...
 
    app.UseRouting();
 
    app.UseAntiforgeryToken(); // 使用中间件发送AntiforgeryToken
 
    app.UseEndpoints(endpoints =>
    {
        endpoints.MapControllerRoute(
            name: "default",
            pattern: "{controller=Home}/{action=Index}/{id?}");
    });
    
    // ...
}

2. 在视图中添加AntiforgeryToken的隐藏字段：

<form action="/your-api-endpoint" method="post">
    @Html.AntiForgeryToken()
    <!-- 其他表单数据 -->
    <input type="submit" value="Submit" />
</form>

3. 在API控制器中使用AntiforgeryToken特性：

[HttpPost]
[ValidateAntiForgeryToken] // 验证请求中的AntiforgeryToken
public IActionResult YourApiMethod()
{
    // 你的逻辑
}

这样配置后，当用户请求视图时，服务器会发送一个AntiforgeryToken cookie和一个隐藏字段。当用户提交表单时，这个token会被发送到服务器进行验证，如果请求中的token与服务器生成的不匹配，则请求会被拒绝，从而防止CSRF攻击。