Générer AntiForgeryToken dans WebForms

J'ai un .NET Webforms site grâce besoins de poster sur mon MVC de l'Application qui se trouve actuellement à l'intérieur de la Webform site comme une application séparée.

L'application Webform besoin de POSTER des valeurs sensibles à la MVC de l'Application.

Est-il un moyen pour générer un AntiForgeryToken() dans mes Formulaires de Demande de sorte qu'il peut être passé avec le post de formulaire.

Sinon personne ne sait de toute autre coutume anti contrefaçon code qui me permettra de faire quelque chose de similaire à la MVC du AntiForgeryValidation.

source d'informationauteur Naz

  1. 8

    La mise en œuvre elle-même n'est pas trop difficile.

    • Générer un GUID
    • Le mettre dans un champ caché
    • Aussi la mettre dans la Session ou Cookie (dans ce dernier cas, avec certains anti-protection antialtération)
    • Au début du traitement de la forme de comparer le terrain et stockées jeton.

    (Si vous regardez à la mise en œuvre de la MVC, il est très peu plus que ça. Quelques méthodes helper est tout ce dont vous avez besoin.)

  2. 7

    C'est une vieille question, mais la plus récente de Visual Studio 2012 ASP.NET de modèle pour les formulaires web inclut l'anti CSRF code cuits dans la page principale. Si vous n'avez pas les modèles, voici le code qu'il génère:

    Protected Sub Page_Init(sender As Object, e As System.EventArgs)


    ' The code below helps to protect against XSRF attacks
    Dim requestCookie As HttpCookie = Request.Cookies(AntiXsrfTokenKey)
    Dim requestCookieGuidValue As Guid
    If ((Not requestCookie Is Nothing) AndAlso Guid.TryParse(requestCookie.Value, requestCookieGuidValue)) Then
        ' Use the Anti-XSRF token from the cookie
        _antiXsrfTokenValue = requestCookie.Value
        Page.ViewStateUserKey = _antiXsrfTokenValue
    Else
        ' Generate a new Anti-XSRF token and save to the cookie
        _antiXsrfTokenValue = Guid.NewGuid().ToString("N")
        Page.ViewStateUserKey = _antiXsrfTokenValue

        Dim responseCookie As HttpCookie = New HttpCookie(AntiXsrfTokenKey) With {.HttpOnly = True, .Value = _antiXsrfTokenValue}
        If (FormsAuthentication.RequireSSL And Request.IsSecureConnection) Then
            responseCookie.Secure = True
        End If
        Response.Cookies.Set(responseCookie)
    End If

    AddHandler Page.PreLoad, AddressOf master_Page_PreLoad
End Sub

Private Sub master_Page_PreLoad(sender As Object, e As System.EventArgs)


    If (Not IsPostBack) Then
        ' Set Anti-XSRF token
        ViewState(AntiXsrfTokenKey) = Page.ViewStateUserKey
        ViewState(AntiXsrfUserNameKey) = If(Context.User.Identity.Name, String.Empty)
    Else
        ' Validate the Anti-XSRF token
        If (Not DirectCast(ViewState(AntiXsrfTokenKey), String) = _antiXsrfTokenValue _
            Or Not DirectCast(ViewState(AntiXsrfUserNameKey), String) = If(Context.User.Identity.Name, String.Empty)) Then
            Throw New InvalidOperationException("Validation of Anti-XSRF token failed.")
        End If
    End If
End Sub
  3. 4

    La version C# de Ian Ippolito réponse ici:

    public partial class SiteMaster : MasterPage
{
private const string AntiXsrfTokenKey = "__AntiXsrfToken";
private const string AntiXsrfUserNameKey = "__AntiXsrfUserName";
private string _antiXsrfTokenValue;
protected void Page_Init(object sender, EventArgs e)
{
//The code below helps to protect against XSRF attacks
var requestCookie = Request.Cookies[AntiXsrfTokenKey];
Guid requestCookieGuidValue;
if (requestCookie != null && Guid.TryParse(requestCookie.Value, out requestCookieGuidValue))
{
//Use the Anti-XSRF token from the cookie
_antiXsrfTokenValue = requestCookie.Value;
Page.ViewStateUserKey = _antiXsrfTokenValue;
}
else
{
//Generate a new Anti-XSRF token and save to the cookie
_antiXsrfTokenValue = Guid.NewGuid().ToString("N");
Page.ViewStateUserKey = _antiXsrfTokenValue;
var responseCookie = new HttpCookie(AntiXsrfTokenKey)
{
HttpOnly = true,
Value = _antiXsrfTokenValue
};
if (FormsAuthentication.RequireSSL && Request.IsSecureConnection)
{
responseCookie.Secure = true;
}
Response.Cookies.Set(responseCookie);
}
Page.PreLoad += master_Page_PreLoad;
}
protected void master_Page_PreLoad(object sender, EventArgs e)
{
if (!IsPostBack)
{
//Set Anti-XSRF token
ViewState[AntiXsrfTokenKey] = Page.ViewStateUserKey;
ViewState[AntiXsrfUserNameKey] = Context.User.Identity.Name ?? String.Empty;
}
else
{
//Validate the Anti-XSRF token
if ((string)ViewState[AntiXsrfTokenKey] != _antiXsrfTokenValue
|| (string)ViewState[AntiXsrfUserNameKey] != (Context.User.Identity.Name ?? String.Empty))
{
throw new InvalidOperationException("Validation of Anti-XSRF token failed.");
}
}
}
protected void Page_Load(object sender, EventArgs e)
{
}
}
  4. 2

    WebForms a une assez similaires analogique dans Page.ViewStateUserKey. Par paramètre par valeur pour l'utilisateur (la plupart choisissent HttpSessionState.SessionId), WebForms permettra de valider le ViewState1 dans le cadre de le MAC vérifier.

     overrides OnInit(EventArgs e) {
base.OnInit(e);
ViewStateUserKey = Session.SessionId;
}

    1 Il existe des scénarios où ViewStateUserKey sera pas de l'aide. Principalement, ils se résument à faire des choses avec les requêtes GET (ou dans le Page_Load sans vérifier IsPostback), ou la désactivation de la ViewStateMAC.

  5. 1

    Vous pouvez utiliser la réflexion pour arriver à la MVC méthodes utilisées pour définir le cookie et la correspondance des entrées de formulaire utilisé pour la MVC de validation. De cette façon, vous pouvez avoir un MVC action avec [AcceptVerbs(HttpVerbs.Post), ValidateAntiForgeryToken] attributs que vous pouvez poster à partir d'un WebForms page générée.

    Voir cette réponse: À l'aide d'un MVC HtmlHelper à partir d'un Formulaire en ligne