在ASP.NET MVC中,没有AntiForgeryToken的删除操作方法是否不安全?
[英]Is Delete Action Method without AntiForgeryToken unsafe in ASP.NET MVC?
问题描述
我的一个视图中有一个网格,并在其中创建了一个“动作”列。 在该列中是用于编辑和删除的按钮。 当用户单击删除按钮时,我使用jQuery访问其click事件。
这是我的ajax删除的样子:
$(document).on('click', '.btnDeleteRole', function (e) {
e.preventDefault();
if (confirm("Are you sure you want to delete this record?")) {
var $this = $(this); //store $(this) to a variable
var roleId = $this.attr('data-role-Id');
$.ajax({
type: "POST",
url: "/admin/roles/delete",
data: { id: roleId },
dataType: "html",
success: function (data) {
// rebind kendo grid
}
});
}
});
这是我的删除操作方法的样子:
// POST: Roles/Delete/5
[Route("roles/delete")]
[HttpPost]
public async Task<IActionResult> RoleDelete(string id)
{
IdentityRole role = await _roleManager.FindByIdAsync(id);
await _roleManager.DeleteAsync(role);
return RedirectToAction("RoleIndex");
}
由于删除按钮不是表单的一部分,因此我无法在ActionMethod上方添加AntiForgeryToken注释。
这样删除项目安全吗?
1 个解决方案
解决方案1
4 已采纳 2016-04-17 21:20:14
不,这不安全。 如果你不使用你antiforgerytoken暴露于CSRF攻击,如所描述这里 。
您只需要在网格删除帖子中发送主表单隐藏令牌即可。 每行不需要一个令牌,因为您拥有表单所需的隐藏令牌和cookie令牌。
ASP.NET MVC5基本HTTP身份验证和AntiForgeryToken异常
[英]ASP.NET MVC5 Basic HTTP authentication and AntiForgeryToken exception
是否可以在不使用“if”(asp.net mvc post action方法)的情况下执行此操作
[英]is it possible to do this without using an “if” (asp.net mvc post action method)
在asp.net mvc3中如何在不指定动作和控制器的情况下调用方法?
[英]How to call a method without specifying action and controller in asp.net mvc3?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
将AntiForgeryToken添加到Asp.Net MVC表单
asp.net mvc 5异步动作方法
如何在 ASP.net MVC 中使 AntiforgeryToken 安全
ASP.NET MVC5基本HTTP身份验证和AntiForgeryToken异常
ASP.NET MVC AntiForgeryToken和AdSense检索器登录
配置antiforgerytoken一次性使用mvc asp.net
使用数据库上下文在ASP.NET MVC中删除操作
是否可以在不使用“if”(asp.net mvc post action方法)的情况下执行此操作
在asp.net mvc3中如何在不指定动作和控制器的情况下调用方法?
按删除时的ASP.NET MVC未知操作
相关标签