AutoValidateAntiForgeryToken 与 ValidateAntiForgeryToken

为了保护网站免受跨站请求伪造（CSRF）的攻击，ASP.NET提供了两种常用的验证方式：AutoValidateAntiForgeryToken和ValidateAntiForgeryToken。这两种方式都是用来验证表单提交的身份信息，确保请求是合法的，并防止攻击者利用用户的身份进行恶意操作。

AutoValidateAntiForgeryToken是ASP.NET Core自动生成的验证特性，它会自动验证POST请求中的AntiForgeryToken。AntiForgeryToken是一个令牌，用于防止CSRF攻击。当用户访问包含表单的页面时，服务器会生成一个唯一的令牌，并将其添加到表单中。当用户提交表单时，服务器会验证令牌的有效性，如果令牌无效，服务器将拒绝请求。

ValidateAntiForgeryToken是一个手动添加的验证特性，需要在POST请求的控制器方法中显式地添加。它的工作原理和AutoValidateAntiForgeryToken相同，都是验证表单中的AntiForgeryToken。使用这种方式时，开发人员需要自己在表单中添加AntiForgeryToken，并在控制器方法中进行验证。

AutoValidateAntiForgeryToken和ValidateAntiForgeryToken的使用场景

这两种验证方式都可以保护网站免受CSRF攻击，但在不同的场景下使用的方式略有不同。

AutoValidateAntiForgeryToken的使用场景

AutoValidateAntiForgeryToken适用于大多数情况下的表单提交。由于它是自动生成的，开发人员只需要在控制器方法中添加[HttpPost]特性，而不需要显式地添加ValidateAntiForgeryToken特性。这种方式简化了开发过程，减少了出错的可能性。

下面是一个使用AutoValidateAntiForgeryToken的示例代码：


[HttpPost]
public IActionResult SubmitForm(MyFormModel model)
{
    // 处理表单提交的逻辑
    return View("Success");
}

在这个示例中，我们只需要在控制器方法上添加[HttpPost]特性，AutoValidateAntiForgeryToken会自动验证表单中的AntiForgeryToken。

ValidateAntiForgeryToken的使用场景

ValidateAntiForgeryToken适用于一些特殊场景下的表单提交。例如，当一个页面中存在多个表单时，每个表单都需要有独立的AntiForgeryToken。在这种情况下，开发人员需要手动在每个表单中添加AntiForgeryToken，并在对应的控制器方法中添加[ValidateAntiForgeryToken]特性进行验证。

下面是一个使用ValidateAntiForgeryToken的示例代码：


[HttpPost]
[ValidateAntiForgeryToken]
public IActionResult SubmitForm(MyFormModel model)
{
    // 处理表单提交的逻辑
    return View("Success");
}

在这个示例中，我们在控制器方法上添加了[ValidateAntiForgeryToken]特性，并在对应的表单中添加了AntiForgeryToken。

AutoValidateAntiForgeryToken和ValidateAntiForgeryToken都是用来保护网站免受CSRF攻击的重要工具。开发人员可以根据具体的场景选择使用哪一种方式。AutoValidateAntiForgeryToken适用于大多数情况下的表单提交，而ValidateAntiForgeryToken适用于一些特殊场景下的表单提交。

通过合理地使用这两种验证方式，可以有效地防止CSRF攻击，保护网站和用户的安全。

参考代码：


@using (Html.BeginForm("SubmitForm", "MyController", FormMethod.Post, new { @class = "form-horizontal", role = "form" }))
{
    @Html.AntiForgeryToken()
    
        姓名
        
            @Html.TextBoxFor(model => model.Name, new { @class = "form-control" })
        
    
    
        邮箱
        
            @Html.TextBoxFor(model => model.Email, new { @class = "form-control" })
        
    
    
        
            
        
    
}

在这个示例中，我们使用了Html.AntiForgeryToken()方法生成AntiForgeryToken，并在表单中添加了AntiForgeryToken的隐藏字段。在控制器方法中，我们添加了[HttpPost]和[ValidateAntiForgeryToken]特性，确保表单提交的安全性。

上一篇：AutoPostBack=True 和 AutoPostBack=False 之间的区别下一篇：AWS SNSClient 发布请求超时错误

=

AuthenticationManager.SignIn() 不存在于 AuthenticationManager 类中: 　　　　AuthenticationManager.SignIn() 不存在于 AuthenticationManager 类中在软件开发中，身份认证是一个至关重要的方面。它用于验证用户的身份，并授予他们访问系统资源的权限...... ...
Async PartialView 导致“HttpServerUtility.Execute 被阻止...”异常: 　　　　如何解决使用 Async PartialView 导致“HttpServerUtility.Execute 被阻止...”异常在ASP.NET开发中，我们经常会使用PartialView来实现页面局部刷新的功能，以提高页面的响...... ...
Aspx 到 Razor 语法转换器 [关闭]: 　　　　，并添加案例代码。文章分为以下几个部分：ASPX语法和Razor语法的转换介绍ASPX是一种用于构建Web应用程序的技术，而Razor是ASP.NET MVC框架中的一种视图引擎。随着时间的推...... ...
aspnetMaxJsonDeserializerMembers 与 maxRequestLength: 　　　　通过设置 aspnet:MaxJsonDeserializerMembers 和 maxRequestLength 属性，我们可以在ASP.NET应用程序中控制JSON反序列化的最大成员数量和最大请求长度。这两个属性对于处理...... ...
Azure Web 应用程序加载缓慢且不热（加载 30 秒以上）: 　　　　在使用 Azure Web 应用程序时，有时我们可能会遇到加载缓慢且不热的问题。当一个 Web 应用程序需要加载的时间超过30秒，这对于用户来说是一种不良的体验。本文将探讨一些可...... ...
Azure Web 应用程序。指定的CGI应用程序遇到错误，服务器终止了进程: 　　　　解决Azure Web应用程序中CGI应用程序错误的方法在使用Azure Web应用程序时，如果指定的CGI应用程序遇到错误并导致服务器终止进程，我们可以采取一些方法来解决这个问题。本...... ...
Azure Web App (ASP.NET MVC) 每十分钟就会变冷，并且需要 10-20 秒才能加载: 　　　　Azure Web App (ASP.NET MVC) 的冷启动问题及解决方案云计算平台的兴起为开发人员提供了更加便捷和灵活的部署方式，Azure Web App (ASP.NET MVC) 作为一种常用的云端应用程...... ...
Azure Service Fabric 与 Docker 做同样的事情吗: 　　　　Azure Service Fabric与Docker的比较及应用案例Azure Service Fabric和Docker都是用于构建和部署分布式应用程序的技术。但它们在设计和应用场景上有一些区别。本文将介绍Az...... ...
Node v5 破坏了 Webstorm 的调试器: 　　　　Node v5 破坏了 Webstorm 的调试器最近，一些开发者发现在使用 Node v5 版本时，Webstorm 的调试器出现了一些问题。这个问题引起了广泛的关注和讨论，让许多开发者感到困惑...... ...
Node v13 Jest ES6 — 对没有 babel 或 esm 的模块的本机支持: 　　　　Node v13 / Jest / ES6 — 对没有 babel 或 esm 的模块的本机支持随着 Node.js 版本的不断更新，它的功能也在不断增强。在 Node v13 中，Jest 测试框架和 ES6 模块都得到了...... ...
Node Sequelize 中急切加载的嵌套模型的排序结果: 　　　　Node Sequelize中急切加载的嵌套模型的排序结果在Node Sequelize中，急切加载是一种优化数据库查询的方法，可以减少查询的次数，提高查询效率。当需要加载多个嵌套模型时，...... ...
Node Sass 尚不支持您当前的环境：Windows 64 位且运行时不受支持 (88): 　　　　Node Sass 是一个非常流行的用于将 Sass 文件编译成 CSS 的工具。然而，有时候在我们的开发环境中可能会遇到一些问题，比如在 Windows 64 位系统上运行时不受支持的错误。本...... ...
aspnetcore.dll 无法加载: 　　　　在开发ASP.NET Core应用程序时，有时会遇到一个常见的问题，即无法加载aspnetcore.dll文件。这个问题可能会导致应用程序无法正常运行，给开发人员带来一些麻烦。本文将探讨...... ...
aspnetcore 中 System.Web.Security.Membership.GeneratePassword 的替代方案 (netcoreapp1.: 　　　　随机密码的替代方案（.NET Core 1.0）在 ASP.NET Core 中，我们常常需要为用户生成随机密码，以提高账户的安全性。而在 .NET Framework 中，我们可以使用 System.Web.Secur...... ...
AspNet vNext 上的 Kestrel 不提供下的索引页面: 　　　　在 AspNet vNext 上，Kestrel 是一个轻量级的跨平台的 Web 服务器，它可以用于托管 ASP.NET 应用程序。然而，Kestrel 在默认配置下不提供根目录（/）下的索引页面。即使在访...... ...