我得到一个强化的结果,说下一行需要一个秘密来防止CSRF
<form id ="form1test1" runat="server">
我在页面加载时生成了一个随机GUID,我想在表单发布时进行比较。
我曾经在经典的asp中看到过将令牌作为查询字符串放入
我正在尝试:
<form "form1test1" runat="server"
action='<%# string.Concat(Eval("login.aspx/?Token="),"",Eval(Session["Token"].ToString()))%> '> >
我所能得到的最好是打印出文本,但不是打印出值,在后面的代码中不执行此操作将无法修正发现的内容 尝试类似的东西
<form "form1test1" runat="server" action="login.aspx/?Token=12345DEF">
答案 0 :(得分:0)
防止CSRF攻击(对我的项目有效)的更好方法是在您的母版页中实现它,如下所示:
添加将为您处理CSRF验证的新类:
public class CsrfHandler
{
public static void Validate(Page page, HiddenField forgeryToken)
{
if (!page.IsPostBack)
{
Guid antiforgeryToken = Guid.NewGuid();
page.Session["AntiforgeryToken"] = antiforgeryToken;
antiforgery.Value = antiforgeryToken.ToString();
}
else
{
Guid stored = (Guid)page.Session["AntiforgeryToken"];
Guid sent = new Guid(antiforgery.Value);
if (sent != stored)
{
// you can throw an exception, in my case I'm just logging the user out
page.Session.Abandon();
page.Response.Redirect("~/Default.aspx");
}
}
}
}
然后在您的母版页中实现:
MyMasterPage.Master.cs:
protected void Page_Load(object sender, EventArgs e)
{
CsrfHandler.Validate(this.Page, forgeryToken);
...
}
MyMaster.Master:
<form id="form1" runat="server">
<asp:ScriptManager ID="ScriptManager1" runat="server"></asp:ScriptManager>
<asp:HiddenField ID="forgeryToken" runat="server"/>
...
</form>
希望您会发现这很有用。