19. XSS & CSRF 要点 有大用

脚本为何没弹出

把默认的引擎 encoding  ( 默认是开启 html.encoding的 ) 去掉,,,这里使用   @Html.Raw

此时 弹出脚本了

下图 就会变成 <script 显示的样子了

另一个网站提交  所有 input 都是 hidden

它们 post 的地址是一样的

通过  CSRF 攻击成功

发生 400错误,说明   ValidateAntiForgeryToken  起作用了

只要我们使用 tag helper 生成form 栏位,就会有这个token,所以安全的做法是,:前面使用 tag helper,后面使用 ValidateAntiForgeryToken

ValidateAntiForgeryToken 既可以在 action 上面设置一下属性

也可以如下设置

[ValidateAntiForgeryToken]  这是注释掉

[IgnoreAntiforgeryToken] 这是不使用验证