欢迎各位兄弟 发布技术文章
这里的技术是共享的
脚本为何没弹出
把默认的引擎 encoding ( 默认是开启 html.encoding的 ) 去掉,,,这里使用 @Html.Raw
此时 弹出脚本了
下图 就会变成 <script 显示的样子了
另一个网站提交 所有 input 都是 hidden
它们 post 的地址是一样的
通过 CSRF 攻击成功
发生 400错误,说明 ValidateAntiForgeryToken 起作用了
只要我们使用 tag helper 生成form 栏位,就会有这个token,所以安全的做法是,:前面使用 tag helper,后面使用 ValidateAntiForgeryToken
ValidateAntiForgeryToken 既可以在 action 上面设置一下属性
也可以如下设置
[ValidateAntiForgeryToken] 这是注释掉
[IgnoreAntiforgeryToken] 这是不使用验证