asp.net MVC中防止跨站请求攻击(CSRF)的ajax用法

参考：

Preventing Cross-Site Request Forgery (CSRF) Attacks
Validating .NET MVC 4 anti forgery tokens in ajax requests

在mvc中，微软提供了一个简单的方法来防止CSRF，就是在前端form表单里加上Anti-Forgery Tokens

<form action="/Home/Test" method="post">

    <input name="__RequestVerificationToken" type="hidden"   

           value="6fGBtLZmVBZ59oUad1Fr33BuPxANKY9q3Srr5y[...]" />    

    <input type="submit" value="Submit" />

</form>

razor的写法很简单：

@using (Html.BeginForm("Manage", "Account")) {

    @Html.AntiForgeryToken()

}

后端只需要在action上加上[ValidateAntiForgeryToken]标签即可

//

// POST: /execute/uploadfile/

[HttpPost]

[MyValidateAntiForgeryToken]

public ActionResult UploadFile()

{

	// codes here

}

那么ajax请求呢?
首先，我尝试在header里面加了__RequestVerificationToken，值就从razor生成，结果报错，最终发现还是要自定义，默认的[ValidateAntiForgeryToken]不行，所以我们就自定义一个MyValidateAntiForgeryTokenAttribute（片段1），需要注意以下几点：

• 从filter中自己判断请求是不是ajax请求，如果你确实发起了ajax请求，还被Reauest.IsAjaxRequest()方法判定为false,那么检查一下header里面有没有{"X-Requested-With" : "XMLHttpRequest"}这个键和值
• 既然是自定义过滤了，那么header里面这个键就没必要非得是__RequestVerificationToken了，你可以任意自定义，只要前后对应即可。
• 至于如何取值，上面介绍了用@html扩展的写法，然后用js的方法把值取出来，也可以用下面片段2的写法，直接用razor写到js里面去，片段3中有使用方法（本例中一个angular的例子，注意甄别）
• 最后，在应用的action前把系统默认的标签改成我们自定义的即可。

片段1，自定义的anti csrf过滤器

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = false, Inherited = true)]

public class MyValidateAntiForgeryTokenAttribute : FilterAttribute, IAuthorizationFilter

{

    private void ValidateRequestHeader(HttpRequestBase request)

    {

        string cookieToken = String.Empty;

        string formToken = String.Empty;

        string tokenValue = request.Headers["RequestVerificationToken"];

        if (!String.IsNullOrEmpty(tokenValue))

        {

            string[] tokens = tokenValue.Split(':');

            if (tokens.Length == 2)

            {

                cookieToken = tokens[0].Trim();

                formToken = tokens[1].Trim();

            }

        }

        AntiForgery.Validate(cookieToken, formToken);

    }



    public void OnAuthorization(AuthorizationContext filterContext)

    {



        try

        {

            if (filterContext.HttpContext.Request.IsAjaxRequest())

            {

                ValidateRequestHeader(filterContext.HttpContext.Request);

            }

            else

            {

                AntiForgery.Validate();

            }

        }

        catch (HttpAntiForgeryException e)

        {

            throw new HttpAntiForgeryException("Anti forgery token cookie not found");

        }

    }

}

片段2，定义一个@function片断

@functions{

    public string TokenHeaderValue()

    {

        string cookieToken, formToken;

        AntiForgery.GetTokens(null, out cookieToken, out formToken);

        return cookieToken + ":" + formToken;

    }

}

片段3， 使用定义的@function片断（实例为angular中为http请求添加全局的header）

var app = angular.module('srv', ['angularLocalStorage', 'angularFileUpload']);

app.config(['$httpProvider', function($httpProvider) {

	$httpProvider.defaults.headers.common["X-Requested-With"] = "XMLHttpRequest";

	$httpProvider.defaults.headers.common["RequestVerificationToken"] = '@TokenHeaderValue()';

}]);