ASP.NET Core Razor頁面禁用防偽令牌驗證

-Advertisement-

在這篇短文中，我將向您介紹如何ASP.NET Core Razor頁面中禁用防偽令牌驗證。 Razor頁面是ASP.NET Core 2.0中增加的一個頁面控制器框架，用於構建動態的、數據驅動的網站；支持跨平臺開發，可以部署到Windows，Unix和Mac操作系統。跨站點請求偽造（也稱為XSRF ...

在這篇短文中，我將向您介紹如何ASP.NET Core Razor頁面中禁用防偽令牌驗證。

Razor頁面是ASP.NET Core 2.0中增加的一個頁面控制器框架，用於構建動態的、數據驅動的網站；支持跨平臺開發，可以部署到Windows，Unix和Mac操作系統。

跨站點請求偽造（也稱為XSRF或CSRF）是對Web托管應用程式的攻擊，因為惡意網站可能會影響客戶端瀏覽器和瀏覽器信任網站之間的交互。這種攻擊是完全有可能的，因為Web瀏覽器會自動在每一個請求中發送某些身份驗證令牌到請求網站。這種攻擊形式也被稱為 一鍵式攻擊 或 會話控制，因為攻擊利用了用戶以前認證的會話。關於這個話題可以看我的另一篇博客：ASP.NET Core 防止跨站請求偽造（XSRF/CSRF）攻擊。

Razor頁面被設計為預設啟動防跨站請求偽造攻擊的，防偽令牌生成和驗證被自動包含在Razor頁面中。但是，在某些情況下，您可能想禁用它。

全局禁用

要在Razor頁面中全局禁用防偽令牌驗證，可以在Startup類的ConfigureServices方法中禁用：

    public void ConfigureServices(IServiceCollection services)
    {
        services.AddMvc().AddRazorPagesOptions(o=>
        {
            o.Conventions.ConfigureFilter(new IgnoreAntiforgeryTokenAttribute());
        });
    }

這將關閉整個應用程式的防偽令牌驗證。請註意，禁用防偽令牌驗證不會阻止生成隱藏欄位或cookie。它只是跳過驗證過程。

我們知道防偽令牌是通過FormTagHelper生成的，好在ASP.NET Core MVC提供了全局設置標簽助手的方法：

    public void ConfigureServices(IServiceCollection services)
    {
        services.AddMvc().InitializeTagHelper<FormTagHelper>((helper, context) => helper.Antiforgery = false);
    }

所以全局禁用防偽令牌驗證的完整代碼如下：

    public void ConfigureServices(IServiceCollection services)
    {
        services.AddMvc().AddRazorPagesOptions(o=>
        {
            o.Conventions.ConfigureFilter(new IgnoreAntiforgeryTokenAttribute());
            
        }).InitializeTagHelper<FormTagHelper>((helper, context) => helper.Antiforgery = false);
    }

部分禁用

如果您希望僅禁用特定方法或頁面模型的驗證，包括如下兩個方法：

在Startup類的ConfigureServices方法進行配置，不過要提供頁面的路徑：

        public void ConfigureServices(IServiceCollection services)
        {
            services.AddMvc().AddRazorPagesOptions(opotions =>
            {
                opotions.Conventions.AddPageApplicationModelConvention("/demo",
                    pageApplicationModel => pageApplicationModel.Filters.Add(new IgnoreAntiforgeryTokenAttribute()));
            });

        }

在此處，我們禁用了 demo 頁面的防偽令牌驗證。

在PageModel上面使用標記：
```
    [IgnoreAntiforgeryToken(Order = 1001)]
    public class DemoModel : PageModel
    {
        public void OnPost()
        {

        }
    }
```
ValidateAntiForgeryToken標記預設的Order屬性為1000，因此IgnoreAntiforgeryToken屬性需要一個更高的序號。

上面我們已經說過了禁用防偽令牌驗證不會阻止生成隱藏欄位或cookie，所以需要禁用FormTagHelper生成令牌。

    <form method="post" asp-antiforgery="false">
    </form>

關於這個話題就介紹完了，如果您感興趣，不防測試一下。

您的分享是我們最大的動力!

-Advertisement-

更多相關文章

操作Linux系統環境變數的幾種方法

一.使用environ指針輸出環境變數代碼如下： ~~~~ include include define MAX_INPUT 20 / 引用指針 / extern char environ; int main(int argc, char argv) { char temp = NULL; cha ...
cpuimage 開源之

前年學習opengl做的一個小東西。原本計劃將gpuimage 的演算法一個一個轉寫成cpu版本 c,c++ 版本。 gpuimage 項目參考: https://github.com/BradLarson/GPUImage https://github.com/BradLarson/GPUImag ...
SpringMVC - @RequestMapping 映射請求

@RequestMapping 映射請求1.SpringMVC使用@RequestMapping註解為控制器指定可以處理哪些URL請求。2.在控制器的類定義及方法定義處都可標註@RequestMapping。 (1).類定義處：提供初步的請求映射信息。相對於WEB應用的根目錄。 (2).提供進一步的 ...
1.print()與input()

hello world必備-》print函數 print(): 作用：列印函數，列印數據到屏幕中參數列表： print(value, ..., sep=' ', end='\n', file=sys.stdout, flush=False) 參數解釋： value,...,代表可以有多個要列印的... ...
hdu 1078

思路：能夠向四個方向前進，同時前進步數不超過m。那麼，在遍歷的時候運用一層迴圈將不超過m步的都一一列舉出來。　　　同時，在遍歷的過程中需要記錄數據形成記憶是搜索。 ...
pygame事件之——控制物體（飛機）的移動

近來想用pygame做做游戲，在 xishui 大神的目光博客中學了學這東西，就上一段自己寫的飛機大戰的代碼，主要是對鍵盤控制飛機的移動做了相關的優化在這裡，飛機的偏移量之所以設置四個而不是兩個，是因為如果設置的是兩個，即控制x和y軸，那麼飛機控制的方向只能是x軸或y軸，就比如說，當按住a鍵的時 ...
jdk源碼->集合->LinkedList

類的屬性構造函數 LinkedList()型構造函數 LinkedList(Collection)型構造函數核心函數分析 add(E e)函數 linklast(E e)函數分析 addLast函數的實際調用 linkFirst(E e)函數 addFirst函數的實際調用 add(int in ...
Python3學習筆記之關於文件的操作

1.file.open(''test.txt'',''r+'',encoding='''UTF-8') 以r+方式打開一個文件test.txt，編碼類型UTF-8 2.file.close() 關閉文件 3.file.write(str) 寫入文件，這裡寫入的類型為str 4.flie.readli ...