我只是想知道是否有任何示例展示了在使用angular2构建富客户端时如何使用防伪令牌,该富客户端使用一组基于.NET 4.5构建的web api2服务的数据。web api服务不是使用asp.net核心构建的,也不会在接下来的几个月内进行更新。谢谢,
路易斯
浏览 2提问于2017-02-13得票数 1
回答已采纳
1回答
剃刀与防伪
、、、
指向另一个页面(),其中指出:
您不必为防伪验证编写任何代码。反伪造令牌生成和验证自动包含在Razor页面中。我在我的ASP.NET MVC应用程序中使用Razor,并且使用AntiForgeryToken帮助程序保护我的表单。由于防伪令牌的相互验证方式(隐藏字段+ cookie),我的用户必须允许网站上的cookie。
浏览 2提问于2018-01-11得票数 6
回答已采纳
我已经阅读过CSRF令牌在Razor页面中被自动验证,但这是否也适用于控制器,还是仍然必须在我的视图中使用@Html.AntiForgeryToken() TagHelper和控制器方法上的[ValidateAntiForgeryToken
浏览 1提问于2020-08-20得票数 0
回答已采纳
我正在尝试理解如何使用ASP.NET Web API制作一个应用程序接口,它将受到的保护,同时仍然可以从非web环境(例如本地移动应用程序)访问。我的第一个想法是,非web环境永远不可能成功通过防伪令牌验证,因为它没有发布的表单。这是真的吗?有没有办法让验证起作用呢?如果没有验证的方法,我的第二个想法是提供一个API来验证web调用的防伪令牌,但不能验证非web调用的防伪令牌。但是,看起来攻击者可以
浏览 1提问于2013-04-02得票数 9
回答已采纳
2回答
我一直在努力弄清楚防伪是怎么运作的。让我困惑的是那些被创造出来的饼干。据我理解,您将防伪令牌包含在表单中,然后在发出请求时验证该令牌。这样,如果第三方网站发布到您的网站,它将被拒绝。现在,我在这里读到,防伪令牌存储在一个cookie中,也许我看错了?但是为什么呢?这样做的全部目的不就是让你的网站以外的人可以访问这个价值吗?如果我看一下我的cookie,我可以看到以它们的名字创建了3个用防伪创建的cookie。options.RequireSsl = false;
浏览 1提问于2018-07-09得票数 6
回答已采纳
1回答
我的Index页面模型中有一个名为'cookie‘的字符串变量。使用以下方法设置此cookie:{ var xsrfToken = token ?? "TestToken";}.... <input type="su
浏览 2提问于2018-11-07得票数 0
我有一个web应用程序,使用asp.net核心(3.1)后端和角度前端(8.2.11)。它使用asp.net身份框架进行用户身份验证。它将身份验证令牌存储在本地存储器中,以用作请求中身份验证头。我知道使用cookie存储身份验证令牌容易受到CSRF的影响,我在一些端点上尝试了一点[ValidateAntiForgeryToken]属性,当然它破坏了这些端点。我知道在Razor page中,表单会自动注入防伪令牌。那么,我需要在我的angular前端中设
浏览 9提问于2021-09-07得票数 0
我使用的是asp.net核心2.2.1反序列化令牌时引发Microsoft.AspNetCore.Antiforgery.Internal.DefaultAntiforgery|ERROR防伪令牌无法解密。
我已经尝试解决这个问题从过去的5天,参考许多链接,但没有结果。我还试着为禁用AntiForgery进行跟踪,但没有结果。
浏览 1提问于2019-12-17得票数 3
我正在开发asp.net核心web应用程序。我使用身份进行用户授权。会话到期时,用户重定向到登录视图。我读过两次以相同的形式应用的防伪令牌可以导致这个feil,但是我只有一个令牌,我已经检查过了。但这篇文章从2013年开始就过时了。所以我不确定我是否可以在asp.net内核中使用这个。人们说这种方式在asp.net核心中是行不通的。我没有找到任何其他的建议,我如何解决asp.net核心的问题。
浏览 6提问于2017-05-08得票数 0
但是,在存储JWT令牌时,似乎存在许多变化,因为这涉及到短暂的访问令牌和更长时间的刷新令牌。1.将JWT访问令牌和刷新令牌存储在仅限于http的安全cookie中。这里的顶部建议添加CSRF令牌:
通过Javascript发送的访问令牌,因此访问
浏览 6提问于2021-12-10得票数 5
2回答
我移除防伪标记--它工作得很好。{ public string GroupName { get; set; }我想使用通常用数据发送串行令牌的方法
浏览 0提问于2019-02-26得票数 1
回答已采纳
在ASP.NET 5 RC1上,我有以下内容public async Task<IActionResult> Create([FromBody]Post post) {
在调用API并对其进行验证时,如何发送令牌?
浏览 1提问于2015-11-18得票数 1
我期待在一个绿地项目上滚出果园CMS。为了保证果园的安全和修补,推荐的方法/最佳实践是什么?
浏览 3提问于2013-06-27得票数 0
随着ASP.NET Core3.0的推出,我正在我的MVC核心应用程序中尝试利用服务器端的Blazor功能。首先,我创建了一个简单的导航组件,通过该组件,我试图让用户通过一个指向控制器操作的按钮注册。但是,我遇到了一个反伪造令牌验证错误,该错误如下:
Microsoft.AspNetCore.Mvc.Infrastructure.ControllerActionInvoker:信息:筛选器'Microsoft.AspNetCore.Mvc.ViewFeatures.Filters.ValidateAntifor
浏览 5提问于2019-12-01得票数 7
我正在尝试创建一个托管的ASP.net Blazor应用程序,并试图将一个记录器放到我的控制器中。
浏览 0提问于2019-04-24得票数 6
回答已采纳
我们有一个使用cookie认证的带有角SPA的ASP.NET核心2.2web应用程序。
我正在跟踪文档到。
浏览 8提问于2019-10-04得票数 3
回答已采纳
你能解释一下的用途并给我举个关于MVC4中ValidateAntiForgeryToken的例子吗?
浏览 1提问于2012-11-29得票数 335
回答已采纳
(例外情况:提供的防伪令牌Microsoft.AspNetCore.Antiforgery.AntiforgeryValidationException:用于与当前用户不同的基于索赔的用户。)
浏览 0提问于2018-10-11得票数 3
回答已采纳
2回答
从工作角度讲,我在一块岩石下生活了2年,现在我在我的新工作场所遇到了Blazor,并且在2年前做了ASP.NET Framework之后,我有很多事情要做。我试着在Blazor服务器端尝试应用我过去的知识,其中包括异步操作的取消令牌,但是结合Blazor,我找不到很多关于它们的信息。
它们是否仍然是一种最佳实践,还是在某一时刻过时了?我确实找到了,它建议在OnInitializedAsync()方法上创建一个令牌资源,并在Dispose()上取消它。框架/核心注入</e
浏览 12提问于2020-06-21得票数 6
回答已采纳
1回答
如何使用有效的标记获取用户信息?
、、、、
我们的后端是一个ASP.NET Core2.2WebAPI,它使用Azure的内置身份验证功能进行了保护。AadHttpClient应该神奇地将发送到后端Web的请求头中的令牌捆绑在一起。我仍然需要调试实时开发应用程序,看看如何在后端Web中检索Bearer令牌。这些是我接下来可能采取的步骤?‘还是'string bearerToken =Request.Headers’KeyValue‘来获取令牌本身?
假设我可以得到这个user令牌,我如何检查调用者的用户信息?或者我是否可以或者
浏览 0提问于2019-07-17得票数 0
云服务器
ICP备案
云直播
实时音视频
即时通信 IM
腾讯云开发者
