ASP.NET Core身份验证注册XSRF/CSRF保护_编程开发

ASP.NET Core身份验证注册XSRF/CSRF保护

创始人

2024-09-16 00:01:02

0次

在ASP.NET Core中，可以使用Antiforgery中间件来提供XSRF/CSRF保护。下面是一个示例解决方案：

首先，在Startup.cs文件中添加以下代码以启用Antiforgery中间件：

using Microsoft.AspNetCore.Antiforgery;

// ...

public void ConfigureServices(IServiceCollection services)
{
    services.AddAntiforgery(options => options.HeaderName = "X-XSRF-TOKEN");

    // ...
}

public void Configure(IApplicationBuilder app, IAntiforgery antiforgery)
{
    app.Use(next => context =>
    {
        string path = context.Request.Path.Value;

        if (string.Equals(path, "/", StringComparison.OrdinalIgnoreCase) ||
            string.Equals(path, "/index.html", StringComparison.OrdinalIgnoreCase))
        {
            // Send the request token as a JavaScript-readable cookie
            var tokens = antiforgery.GetAndStoreTokens(context);
            context.Response.Cookies.Append("XSRF-TOKEN", tokens.RequestToken,
                new CookieOptions() { HttpOnly = false });
        }

        return next(context);
    });

    // ...
}

然后，在前端的登录或注册页面中添加以下代码以获取和发送XSRF令牌：

@inject Microsoft.AspNetCore.Antiforgery.IAntiforgery Antiforgery


    
    

    

    


@section Scripts {
    
}

最后，在服务器端的注册或登录操作中验证XSRF令牌：

[HttpPost]
[ValidateAntiForgeryToken]
public IActionResult Register(RegisterViewModel model)
{
    if (ModelState.IsValid)
    {
        // Validate the XSRF token
        if (!HttpContext.Request.Cookies.TryGetValue("XSRF-TOKEN", out string token) ||
            !Antiforgery.ValidateRequestAsync(HttpContext).GetAwaiter().GetResult())
        {
            return BadRequest("Invalid XSRF token");
        }

        // Process the registration

        return RedirectToAction("Login");
    }

    return View(model);
}

以上代码中，XSRF令牌在登录或注册页面中作为隐藏的输入字段发送，并在AJAX请求的头部中包含该令牌。服务器端验证XSRF令牌的有效性，确保请求是合法的。

请注意，上述示例仅用于说明如何在ASP.NET Core中实现XSRF/CSRF保护，实际应用中可能需要根据具体需求进行适当的调整。

上一篇：ASP.NET Core身份验证中间件绕过与cookie关联的过期访问令牌

下一篇：asp.net core身份验证自定义用户数据与集合

ASP.NET Core身份验证注册XSRF/CSRF保护

相关内容

热门资讯