前几天,一个站点的举报信息里,出现了一些莫名其妙的没经过页面验证的数据,还高大上的全是英文,估计被跨站异步提交了。
自己做了一个测试,POST提交
首先在Controllers层post方法加入上加入 [ValidateAntiForgeryToken] 后
顺便说下,这个只能用在post方法上使用。
在Views层的页面上加入@Html.AntiForgeryToken(),在From表单中,如果是Jquery提交的,那么需要在方法里加入一起提交,不然会报所需的防伪表单字段“__RequestVerificationToken”不存在。
再看看页面
cookies
正常了。。。