Web API 和 ValidateAntiForgeryToken

2023-11-21

我们有一些现有的 MVC Web 服务，它们在网页中称为 AJAX 样式。这些服务利用 ValidateAntiForgeryToken 属性来帮助防止请求伪造。

我们正在寻求将这些服务迁移到 Web API，但似乎没有等效的防伪功能。

我错过了什么吗？是否有不同的方法来解决 Web API 请求伪造问题？

您可以实现这样的授权属性：

[AttributeUsage(AttributeTargets.Method | AttributeTargets.Class, AllowMultiple = false, Inherited = true)]
public sealed class ValidateAntiForgeryTokenAttribute : FilterAttribute, IAuthorizationFilter
{
    public Task<HttpResponseMessage> ExecuteAuthorizationFilterAsync(HttpActionContext actionContext, CancellationToken cancellationToken, Func<Task<HttpResponseMessage>> continuation)
    {
        try
        {
            AntiForgery.Validate();
        }
        catch
        {
            actionContext.Response = new HttpResponseMessage 
            { 
                StatusCode = HttpStatusCode.Forbidden, 
                RequestMessage = actionContext.ControllerContext.Request 
            };
            return FromResult(actionContext.Response);
        }
        return continuation();
    }

    private Task<HttpResponseMessage> FromResult(HttpResponseMessage result)
    {
        var source = new TaskCompletionSource<HttpResponseMessage>();
        source.SetResult(result);
        return source.Task;
    }
}

然后用它来装饰你的 API 操作：

[ValidateAntiForgeryToken]
public HttpResponseMessage Post()
{
    // some work
    return Request.CreateResponse(HttpStatusCode.Accepted);
}

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

ASPNETMVC

aspnetwebapi

antiforgerytoken

Web API 和 ValidateAntiForgeryToken 的相关文章

在 asp.net MVC 中使用活动目录进行身份验证

我想使用活动目录对我的 asp net mvc 项目中的用户进行身份验证在网上冲浪了几个小时后我没有找到任何对我有用的东西我已经看到了所有结果但什么也没有我尝试按照许多帖子的建议编辑我的 web config 如果有人可以帮助我提
ASP.NET MVC 路由：如何从 URL 中省略“索引”

我有一个名为 StuffController 的控制器具有无参数索引操作我希望从表单中的 URL 调用此操作mysite com stuff 我的控制器定义为 public class StuffController BaseContr
在 ASP.Net MVC 中的同一视图中分离两个表单

我已将创建帐户视图和登录视图合并到同一视图中所以这是一个具有两种表单的视图但是当我提交时它们会混合在一起如果我尝试登录并显示错误 Html ValidationSummary 两种形式都会出现错误我开始将字段重命名为 loginPa
将 Web API 添加到 asp.net MVC 项目时出现问题（追溯）

我正在 Visual Studio 2013 中使用 asp net mvc 迈出第一步但遇到了一个奇怪的问题我以 MVC 的形式启动了我的项目并且没有选中 Web API 框来包含核心参考不过现在我想使用 Web API 功能我
使用 MVC5、Ajax、C# 和 MSSQL Server 级联 DropdownList

我对来自 Windows 窗体和三层架构的 MVC 非常陌生我试图找出使用从数据库填充的级联下拉列表 DDL 我使用 MS SQL Server 2012 VS 2013 目前我正在研究用户调查问卷用户可以从 DDL 的多个答案中进行选
删除或替换 RouteTable 中的现有路由

我得到了一个 ASP NET MVC 2 0 Preview 1 应用程序并开始创建一些包含自己的路由的区域我希望有一种方法可以在主项目中覆盖这些路线我当然不能添加同名的新路线我可以看到 RouteTable Routes Remo
一小时后，身份将从不记名令牌中消失

我正在使用带有 Web 应用程序和 Web API 的 Azure AD 开发多租户解决方案 Web 应用程序使用 OpenIdConnect 检索不记名令牌缓存在 Azure Redis 缓存中该令牌在 Angular 中用于从 We
MVC3远程模型验证操作中的参数名称

我使用远程验证属性SSN属性在视图页面中我使用通用视图然后 ssn 字段如下 Html EditorFor model gt model MainModel SSN Html ValidationMessageFor model gt
NServiceBus 3.2 示例问题

我正在尝试运行 AsyncPages 的 NServiceBus 示例看起来很简单从 NServiceBus com 下载最新版本执行bat文件来安装先决条件打开解决方案 Press F5 在文本框中输入数字当我这样做时我遇到了
在 LINQ 中，如何对来自 .Include() 的数据执行 .OrderBy() ？

这就是我正在做的 List
在 MVC 类上创建主键字段

我是 MVC 和 C 新手我只是偶然发现它并发现它很有趣我遇到了一个不允许我继续的问题这是我的代码 using System using System Collections Generic using System Linq usi
渲染以 Markdown 形式上传并在服务器端转换为 Html 的 Html 是否安全？

我有一个网络表单允许用户以 Markdown 形式上传文本 Markdown 在服务器上转换为 Html 使用 Markdig 并存储当显示用户上传的转换后的 Html 时我应该 Html Encode 内容该项目采用 c MVC
Web API 操作过滤器 - Controller.TempData 等效吗？

在我的 System Web Mvc Action 过滤器中我之前使用 TempData 来存储我的 unitOfWork 服务的实例如下所示 public override void OnActionExecuting ActionE
在 SignOut() 之后使用浏览器的后退按钮允许访问安全页面 (ASP.NET MVC)

我有一个 MVC 应用程序它使用 Authorize 来保护私有位当我选择 SignOut URL 时它会将我注销但如果我点击浏览器上的后退按钮它会转到安全页面甚至允许我使用该表单该操作发生然后显示我已退出问题是它执行安全
通过 C# 更改 MS WORD

我试图保存通过 C 打开的文档我也保留了文档界面的 TrackRevision 属性现在我想获取修改文档的人的姓名在 MS Word 中我可以从审阅窗格中找到更改文档的用户的姓名我如何通过 C 获得它之后一旦用户点击 MS Wo
当结合 asp.net 动态数据和 MVC MetaModel.Visible 包含 Scaffold==false 的表时

我通过创建一个新的 DD 项目并添加 MVC 内容引用路由使用等来组合 MVC 和 DD default aspx 来自 DD 上的表列表将显示所有表包括带有 ScaffoldTable false 的 Scaffold true
请求的资源不支持 HTTP 方法“GET”

我的路线配置正确并且我的方法具有装饰标签我仍然收到请求的资源不支持 HTTP 方法 GET 消息 System Web Mvc AcceptVerbs GET POST System Web Mvc HttpGet public st
外部组件中的控制器上的 404

我在解决 Asp Net MVC 4 项目中的 404 响应时遇到问题它是在 VS2012 中构建的目标版本为 4 5 我已将预编译的视图和控制器内置到独立的 DLL 中我能够动态加载 DLL 并从我的核心项目中检查它们甚至调用它们
asp.net MVC ModelState.IsValid 返回 false

我正在开发 ASP NET MVC 应用程序我有一个视图模型如下 public class SampleInterestViewModel Properties defined One such property that shows a
用于高级搜索/过滤的.Net Web API URL 约定

我对 Microsoft 的 REST 和 WebAPI 比较陌生我们正在实现一个中心 REST 服务它将容纳多种类型的对象获取和设置作为该项目的领导者我的任务是提出我们正在使用的正确的 Uri 设计我想知道关于战争什么想法更好

随机推荐

将字符串中的一些小写字母更改为大写

index 0 2 5 s I am like stackoverflow python for i in index s s i upper print s IndexError string index out of range 我知道
使用 getopt 向命令行选项提供两个参数[重复]

这个问题在这里已经有答案了使用时是否有其他方法将两个参数作为单个字符串传递给选项getopt 通常我会执行以下操作 command o key value command arguments 然后我必须明确地分割参数字符串 while o
如何获取ng-bootstrap中Dropdown的值？

我正在使用 ng bootstrap 我想在选择时获取下拉列表的值 div class col text right div class d inline block div div
如何从部分视图获取父视图

我有一个部分视图作为 Layout cshtml 的一部分以便它可以在多个页面上呈现将部分视图视为显示在网站每个页面上的菜单当单击部分视图菜单中的这些链接之一时我只能在称为部分视图的操作方法中访问查看如它的名称等但我真正需要的
无法更改视图的默认布局边距

从ios 8 0开始视图有额外的layoutMargins默认情况下每边都有 8 分值当我尝试更改边距时viewDidLoad它似乎对孩子的看法没有影响 override func viewDidLoad super viewDidL
Python lambda函数打印 at 0x7fcbbc740668>而不是值

我是 python 的初学者我正在研究 lambda 函数我正在编写一个程序使用 lambda 函数来打印输入字符的 ascii 值 1 的字符我的代码是 usr bin python import sys try word sys
NoClassDefFoundError：org/slf4j/Logger

我将 Log4J2 添加到我的应用程序中我将所有 Log4J2 jar 文件复制到 LIB 目录并创建 Log4J2 xml 文件来支持它我的代码已更新以导入必要的日志管理器和记录器 API 然后我添加了静态最终记录器方法并在代码中
什么时候可以捕获 NullPointerException？

有效的java建议我们不应该catch NullPointerException 总是对的吗在很多抓捕的情况下NullPointerException 仅捕获正文调用printStackTrace 如果我没抓住NullPointerExc
Azure管道根据条件设置任务的显示名称

在构建管道中我有一个使用 powershell 脚本的工作该脚本根据如下变量设置应用程序名称 applicationName If configuration eq Release Appname Else Appname Test W
Plotly：如何设置 x 轴上时间序列的主要刻度/网格线的值？

背景这个问题与以下问题相关但不完全相同 Plotly 如何检索主要刻度线和网格线的值类似的问题也被问过但没有得到解答绘图库 here 如何将主要刻度显示为每月的第一天将次要刻度显示为每天情节太棒了也许唯一困扰我的是刻度线网格线
Android 上的 Scala：java.lang.NoSuchMethodError：java.lang.String.isEmpty

我在 Android 2 2 1 上遇到以下异常 java lang NoSuchMethodError java lang String isEmpty 我正在打电话text isEmpty来自斯卡拉任何想法如何解决这个问题 java
HashicorpVault - 客户端向 HTTPS 服务器发送 HTTP 请求 - 准备探针

目前存在一个问题即部署 Vault Helm 图表时就绪探针失败 Vault 正在工作但每当我描述 Pod 时都会出现此错误我如何让探测器使用 HTTPS 而不是 HTTP 如果有人知道如何解决这个问题我会很高兴慢慢失去理智 Kube
同时使用多个Spring PropertyPlaceholderConfigurer

我有两个项目其中一个服务包括第二个核心我在核心项目中定义了下面的 PropertyPlaceholderConfigurer
为什么 C 语言中移位的优先级低于加法和减法？

我有时在进行位操作时发现这很不方便尽管我现在不记得任何具体的例子我还发现它在概念上令人困惑因为移位基本上是乘法和除以 2 的幂我发现在 C 中使用因为这就是 C 语言的作者所决定的使用括号以避免混淆
如何将 Android 意图传递给除了我自己的应用程序之外的任何人？

我有一个特定的意图 NDEF DISCOVERED 其中一些我无法正确处理所以我想将它们重定向到 android 的默认 nfc 处理程序所以我采取了意图 setComponent null 进而startActivity intent
从 ASP.Net 页面运行批处理文件

我试图通过 ASP Net 页面在服务器上运行批处理文件这让我抓狂当我运行下面的代码时没有任何反应我可以从一些日志语句中看到该代码运行但我传递给该函数的 bat 文件从未运行有人可以告诉我我做错了什么吗 public void
jQuery 无法在 AJAX 加载页面中工作

我正在使用 jQuery 使用 ajax 假设 test html 通过 AJAX 加载页面它是一个简单的 HTML 文档带有一些按钮和单击它们时关联的动画也使用 jQuery 当我直接加载页面时关联的 click 属性工作正常但
用纯JS动画最大高度？

我想要为 div 的高度设置动画这通常在 CSS 中通过动画来完成max height财产但是我需要在 JS 中执行此操作 div 填充了经常变化的动态内容因此无法提前知道实际高度这是一个jsfiddle https jsfiddl
神经网络如何使用遗传算法和反向传播来玩游戏？

我碰到YouTube 上这段关于遗传算法的有趣视频正如您在视频中看到的机器人学会了战斗现在我已经研究神经网络一段时间了我想开始学习遗传算法这在某种程度上将两者结合起来如何结合遗传算法和神经网络来做到这一点在这种情况下人们如
Web API 和 ValidateAntiForgeryToken

我们有一些现有的 MVC Web 服务它们在网页中称为 AJAX 样式这些服务利用 ValidateAntiForgeryToken 属性来帮助防止请求伪造我们正在寻求将这些服务迁移到 Web API 但似乎没有等效的防伪功能我错过

Web API 和 ValidateAntiForgeryToken

Web API 和 ValidateAntiForgeryToken 的相关文章

随机推荐

热门标签