Html.AntiForgeryToken() 还需要吗?
Html.AntiForgeryToken() still required?
ASP.NET .NET4.6 vNext 是否仍然需要 @Html.AntiForgeryToken()?
表格装饰已更改为
<form asp-controller="Account"
asp-action="Login"
asp-route-returnurl="@ViewBag.ReturnUrl"
method="post"
class="form-horizontal"
role="form">
由此
@using (Html.BeginForm("Login",
"Account",
new { ReturnUrl = ViewBag.ReturnUrl },
FormMethod.Post,
new { @class = "", role = "form" }))
并且不再包括这个
@Html.AntiForgeryToken()
Controller Actions 仍然按预期标记有 ValidateAntiForgeryToken 属性,那么它究竟来自哪里?自动魔法?
[HttpPost]
[AllowAnonymous]
[ValidateAntiForgeryToken]
public async Task<IActionResult> Login(LoginViewModel model, string returnUrl = null)
表单标签助手会自动添加防伪标记。 (除非您将其用作标准 html 表单元素,手动添加 action 属性)。查看form tag helper的源码,你会在Process方法的最后看到如下
if (Antiforgery ?? antiforgeryDefault)
{
var antiforgeryTag = Generator.GenerateAntiforgery(ViewContext);
if (antiforgeryTag != null)
{
output.PostContent.AppendHtml(antiforgeryTag);
}
}
如果您检查登录页面的 html,您将在表单中看到以下隐藏输入:
<input name="__RequestVerificationToken" type="hidden" value="CfDJ8BIeHClDdT9...">
您也可以手动 enable/disable 添加 asp-antiforgery 属性:
<form asp-controller="Account" asp-action="Register" asp-antiforgery="false" method="post" class="form-horizontal" role="form">
ASP.NET .NET4.6 vNext 是否仍然需要 @Html.AntiForgeryToken()?
表格装饰已更改为
<form asp-controller="Account"
asp-action="Login"
asp-route-returnurl="@ViewBag.ReturnUrl"
method="post"
class="form-horizontal"
role="form">
由此
@using (Html.BeginForm("Login",
"Account",
new { ReturnUrl = ViewBag.ReturnUrl },
FormMethod.Post,
new { @class = "", role = "form" }))
并且不再包括这个
@Html.AntiForgeryToken()
Controller Actions 仍然按预期标记有 ValidateAntiForgeryToken 属性,那么它究竟来自哪里?自动魔法?
[HttpPost]
[AllowAnonymous]
[ValidateAntiForgeryToken]
public async Task<IActionResult> Login(LoginViewModel model, string returnUrl = null)
表单标签助手会自动添加防伪标记。 (除非您将其用作标准 html 表单元素,手动添加 action 属性)。查看form tag helper的源码,你会在Process方法的最后看到如下
if (Antiforgery ?? antiforgeryDefault)
{
var antiforgeryTag = Generator.GenerateAntiforgery(ViewContext);
if (antiforgeryTag != null)
{
output.PostContent.AppendHtml(antiforgeryTag);
}
}
如果您检查登录页面的 html,您将在表单中看到以下隐藏输入:
<input name="__RequestVerificationToken" type="hidden" value="CfDJ8BIeHClDdT9...">
您也可以手动 enable/disable 添加 asp-antiforgery 属性:
<form asp-controller="Account" asp-action="Register" asp-antiforgery="false" method="post" class="form-horizontal" role="form">