NetCore Webapi XSRF/CSRF 跨站请求伪造过滤中间件
warning:
这篇文章距离上次修改已过192天,其中的内容可能已经有所变动。
在.NET Core Web API中,可以使用内置的AntiforgeryToken特性来防御CSRF攻击。以下是一个简单的示例,展示如何在ASP.NET Core Web API中实现XSRF/CSRF保护:
- 在Startup.cs中配置Antiforgery服务:
public void ConfigureServices(IServiceCollection services)
{
services.AddControllersWithViews();
// 添加Antiforgery服务
services.AddAntiforgery(options =>
{
// 设置Cookie名称,默认为".AspNetCore.Antiforgery.sCsrf"
options.HeaderName = "X-XSRF-TOKEN"; // 可以自定义请求头名称
});
}
public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
// ...
app.UseRouting();
app.UseAntiforgeryToken(); // 使用中间件发送AntiforgeryToken
app.UseEndpoints(endpoints =>
{
endpoints.MapControllerRoute(
name: "default",
pattern: "{controller=Home}/{action=Index}/{id?}");
});
// ...
}- 在视图中添加AntiforgeryToken的隐藏字段:
<form action="/your-api-endpoint" method="post">
@Html.AntiForgeryToken()
<!-- 其他表单数据 -->
<input type="submit" value="Submit" />
</form>- 在API控制器中使用AntiforgeryToken特性:
[HttpPost]
[ValidateAntiForgeryToken] // 验证请求中的AntiforgeryToken
public IActionResult YourApiMethod()
{
// 你的逻辑
}这样配置后,当用户请求视图时,服务器会发送一个AntiforgeryToken cookie和一个隐藏字段。当用户提交表单时,这个token会被发送到服务器进行验证,如果请求中的token与服务器生成的不匹配,则请求会被拒绝,从而防止CSRF攻击。
评论已关闭