簡體 English 中英

帶iframe的彈出窗口：一次使用多個@ Html.AntiForgeryToken（）

[英]Popup with iframe: Use of multiple @Html.AntiForgeryToken() at once

原文 2018-06-26 12:55:06 6 1 c#/ asp.net/ asp.net-mvc/ security/ antiforgerytoken

我有一個頁面，在加載時會使用@Html.AntiForgeryToken()生成一個防偽令牌。 這在布局文件中發生。 該頁面可以打開一個帶有iframe的彈出窗口。此iframe使用@Html.AntiForgeryToken()生成自己的防偽令牌。

在您可以打開彈出窗口的頁面上，用戶可以注銷。 注銷請求包括此頁面加載時生成的防偽令牌。

鑒於我這樣做：

加載可以打開彈出窗口的頁面（生成防偽令牌）
使用iframe打開彈出窗口（iframe中會生成一個新的防偽令牌）
從我可以打開彈出窗口的頁面注銷

注銷成功。 這是為什么？ 新令牌不會取代服務器上的舊令牌嗎？ 還是將我驗證過的防偽令牌作為cookie存儲在瀏覽器中，以便在我通過注銷請求傳遞防偽令牌值時，瀏覽器還傳遞與之進行比較的匹配的防偽令牌cookie？

我在ASP.NET 4.5.2和MVC 5.2.3上。

1 個解決方案

好像它保存在cookie中。 這不是來自.NET Core的文章，盡管它可能以相同的方式工作。

ASP.NET Web Stack運行時使用同步器令牌模式的變體來防御XSRF攻擊。 同步器令牌模式的一般形式是將兩個反XSRF令牌與每個HTTP POST（除了身份驗證令牌）一起提交給服務器：一個令牌作為cookie，另一個令牌作為表單值。 由ASP.NET運行時生成的令牌值不能被攻擊者確定或預測。 提交令牌后，服務器將僅在兩個令牌均通過比較檢查后才允許請求繼續進行。

關於@ Html.AntiForgeryToken（）

[英]Regarding the @Html.AntiForgeryToken()

如何將Html.AntiForgeryToken添加到ActionLink和RedirectToAction？

[英]How to add Html.AntiForgeryToken to ActionLink and RedirectToAction?

在ajax請求中添加@ Html.AntiForgeryToken（）

[英]adding @Html.AntiForgeryToken() in ajax request

ASP.NET MVC HTML.AntiForgeryToken（），包含來自一個頁面的多個AJAX請求

[英]ASP.NET MVC HTML.AntiForgeryToken() with multiple AJAX requests from one page

MVC 5 @ Html.AntiForgeryToken（）生成具有空值的html標簽

[英]MVC 5 @Html.AntiForgeryToken() generating html tag with empty value

Html.AntiForgeryToken（）引發錯誤“服務器在發送HTTP標頭后無法附加標頭。”

[英]Html.AntiForgeryToken() throws error “Server cannot append header after HTTP headers have been sent.”

使用 Ajax 和 Html.AntiForgeryToken() 時，所需的防偽表單字段“__RequestVerificationToken”不存在

[英]The required anti-forgery form field "__RequestVerificationToken" is not present when using Ajax and Html.AntiForgeryToken()

獲取Html.AntiForgeryToken會引發錯誤“服務器無法在發送HTTP標頭后修改cookie”

[英]Getting Html.AntiForgeryToken throws error “Server cannot modify cookies after HTTP headers have been sent”

當我使用Firebug更改值時，@ Html.AntiForgeryToken無法正確使提交的表單無效

[英]@Html.AntiForgeryToken isn't correctly invalidating a submitted form when I change values with Firebug

mvc 6 只生成一次 antiforgerytoken

[英]mvc 6 generates antiforgerytoken only once

暫無

暫無

聲明:本站的技術帖子網頁，遵循CC BY-SA 4.0協議，如果您需要轉載，請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 關於@ Html.AntiForgeryToken（）如何將Html.AntiForgeryToken添加到ActionLink和RedirectToAction？在ajax請求中添加@ Html.AntiForgeryToken（） ASP.NET MVC HTML.AntiForgeryToken（），包含來自一個頁面的多個AJAX請求 MVC 5 @ Html.AntiForgeryToken（）生成具有空值的html標簽 Html.AntiForgeryToken（）引發錯誤“服務器在發送HTTP標頭后無法附加標頭。” 使用 Ajax 和 Html.AntiForgeryToken() 時，所需的防偽表單字段“__RequestVerificationToken”不存在獲取Html.AntiForgeryToken會引發錯誤“服務器無法在發送HTTP標頭后修改cookie” 當我使用Firebug更改值時，@ Html.AntiForgeryToken無法正確使提交的表單無效 mvc 6 只生成一次 antiforgerytoken

相關標簽

粵ICP備18138465號 © 2020-2024 STACKOOM.COM