当前位置：移动技术网 > IT编程>开发语言>.net > ASP.NET Core 2.0中Razor页面禁用防伪令牌验证

ASP.NET Core 2.0中Razor页面禁用防伪令牌验证

2018年02月07日 | 移动技术网IT编程 | 我要评论

美国股市开盘时间,新鲜空气系统,天水师范学院是几本

在这篇短文中，我将向您介绍如何asp.net core razor页面中禁用防伪令牌验证。

razor页面是asp.net core 2.0中增加的一个页面控制器框架，用于构建动态的、数据驱动的网站；支持跨平台开发，可以部署到windows，unix和mac操作系统。

跨站点请求伪造（也称为xsrf或csrf）是对web托管应用程序的攻击，因为恶意网站可能会影响客户端浏览器和浏览器信任网站之间的交互。这种攻击是完全有可能的，因为web浏览器会自动在每一个请求中发送某些身份验证令牌到请求网站。这种攻击形式也被称为一键式攻击或会话控制，因为攻击利用了用户以前认证的会话。关于这个话题可以看我的另一篇博客：asp.net core 防止跨站请求伪造（xsrf/csrf）攻击。

razor页面被设计为默认启动防跨站请求伪造攻击的，防伪令牌生成和验证被自动包含在razor页面中。但是，在某些情况下，您可能想禁用它。

全局禁用

要在razor页面中全局禁用防伪令牌验证，可以在startup类的configureservices方法中禁用：

public void configureservices(iservicecollection services)
 {
  services.addmvc().addrazorpagesoptions(o=>
  {
   o.conventions.configurefilter(new ignoreantiforgerytokenattribute());
  });
 }

这将关闭整个应用程序的防伪令牌验证。请注意，禁用防伪令牌验证不会阻止生成隐藏字段或cookie。它只是跳过验证过程。

我们知道防伪令牌是通过formtaghelper生成的，好在asp.net core mvc提供了全局设置标签助手的方法：

public void configureservices(iservicecollection services)
 {
  services.addmvc().initializetaghelper<formtaghelper>((helper, context) => helper.antiforgery = false);
 }

所以全局禁用防伪令牌验证的完整代码如下：

public void configureservices(iservicecollection services)
 {
  services.addmvc().addrazorpagesoptions(o=>
  {
   o.conventions.configurefilter(new ignoreantiforgerytokenattribute());
   
  }).initializetaghelper<formtaghelper>((helper, context) => helper.antiforgery = false);
 }

部分禁用

如果您希望仅禁用特定方法或页面模型的验证，包括如下两个方法：

1、在startup类的configureservices方法进行配置，不过要提供页面的路径：

public void configureservices(iservicecollection services)
  {
   services.addmvc().addrazorpagesoptions(opotions =>
   {
    opotions.conventions.addpageapplicationmodelconvention("/demo",
     pageapplicationmodel => pageapplicationmodel.filters.add(new ignoreantiforgerytokenattribute()));
   });
  }

在此处，我们禁用了 demo 页面的防伪令牌验证。

2、在pagemodel上面使用标记：

[ignoreantiforgerytoken(order = 1001)]
 public class demomodel : pagemodel
 {
  public void onpost()
  {

  }
 }

validateantiforgerytoken标记默认的order属性为1000，因此ignoreantiforgerytoken属性需要一个更高的序号。

上面我们已经说过了禁用防伪令牌验证不会阻止生成隐藏字段或cookie，所以需要禁用formtaghelper生成令牌。

<form method="post" asp-antiforgery="false">
</form>

关于这个话题就介绍完了，如果您感兴趣，不防测试一下。

您可能感兴趣的文章:

如对本文有疑问，请在下面进行留言讨论，广大热心网友会与你互动！！点击进行留言回复

详解.NET Core 3.0 里新的JSON API

为什么需要新的 json api ？json.net 大家都用过，老版本的 asp.net core 也依赖于 json.net 。然而这个依赖就会引起一些版... [阅读全文]
Net Core Web Api项目与在NginX下发布的方法

前言本文将介绍net core的一些基础知识和如何nginx下发布net core的webapi项目。测试环境操作系统：windows 10 开发工具：v... [阅读全文]
浅谈ASP.NET Core 中jwt授权认证的流程原理

1，快速实现授权验证什么是 jwt ？为什么要用 jwt ？jwt 的组成？这些百度可以直接找到，这里不再赘述。实际上，只需要知道 jwt 认证模式是使用一段 ... [阅读全文]
.Net Core 实现图片验证码的实现示例

记录自己的学习，参考了网上各位大佬的技术，往往在登录的时候需要使用到验证码来进行简单的一个校验，这边使用在.net core上进行生成图片二维码思路很简单=》 ... [阅读全文]
asp.net core3.1 引用的元包dll版本兼容性问题解决方案

自从.netcore 3.1出来后，大家都想立马升级到最新版本。我也是如此，微软也对.netcore 3.1 的官方组件不断升级，几乎每隔几天就会有部分元包可以... [阅读全文]
IdentityServer4实现.Net Core API接口权限认证(快速入门)

什么是identityserver4官方解释：identityserver4是基于asp.net core实现的认证和授权框架，是对openid connect... [阅读全文]
从ASP.NET Core3.1迁移到5.0的方法

3月中旬，微软官方已经发布了dotnet 5的第一个预览版：5.0.0-preview.1。dotnet core经过前几个版本的发展和沉淀，到3.1已经基本趋... [阅读全文]
.NET Core中创建和使用NuGet包的示例代码

在.net core的项目中，如果我们要在项目中引用其它dll文件，不建议直接在项目引用中添加dll文件（虽然在.net core项目中也可以这么做），建议是去... [阅读全文]
ASP.NET Core MVC通过IViewLocationExpander扩展视图搜索路径的实现

iviewlocationexpander api expandviewlocations razor视图路径，视图引擎会搜索该路径. populateva... [阅读全文]
ASP.NET Core中的Controller使用示例

asp.net core出现之前我们实现的controller，mvc都继承自controller基类，webapi的话继承自apicontroller。现在a... [阅读全文]