代码之家  ›  专栏  ›  技术社区  ›  Bryan Dellinger

在车把模板中添加防伪标识

antiforgerytoken handlebars.js asp.net-core-mvc c#
  •  1
  • Bryan Dellinger  · 技术社区  · 6 年前

    我已经改变了剃须刀的看法,以一个车把模板。 

     using (Html.BeginForm("Start", "Form", FormMethod.Post, new { formTypeId = @Model.TypeId, organizationId = @Model.OrganizationId }))
 {
     @Html.AntiForgeryToken()
     <input type="hidden" name="formTypeId" value="@Model.TypeId" />
     <input type="hidden" name="organizationId" value="@Model.OrganizationId" />
     <button class="btn btn-primary btn-block" type="submit">Start</button>
 }

    在车把模板中: 

    <form action="{{StartLink}}" method="post">
    <input type="hidden" name="formTypeId" value="{{TypeId}}" />
    <input type="hidden" name="organizationId" value="{{OrganizationId}}" />
    <button class="btn btn-primary btn-block" style="margin-bottom: 5px;" type="submit">Start</button>
</form>

    我不知道如何添加防伪令牌的把手形式。

    1 回复  |  直到 6 年前
        1
  •  0
  •   Bryan Dellinger    6 年前

    好吧,这就是我的想法。

    在我的索引.cshtml我将一个反伪造令牌传递给创建handlebars模板的js。 

    @section scripts {
    <script>
        $(function () {
            window.formListBuilder = new app.components.FormListBuilder({
                container: '#forms-container',
                baseUrl: '@baseUrl.ToString()',
                antiForgeryToken: '@Html.AntiForgeryToken()',
                currentUser: JSON.parse('@Html.Raw(Json.Serialize(currentUser))')
            })
        });

    </script>
}

    然后在车把模板中我使用了防伪标识。 

    <form action="{{StartLink}}" method="post">
                    {{{antiForgeryToken}}}
                    <input type="hidden" name="formTypeId" value="{{TypeId}}" />
                    <input type="hidden" name="organizationId" value="{{OrganizationId}}" />
                    <button class="btn btn-primary btn-block" style="margin-bottom: 5px;" type="submit">Start</button>
                </form>

    这是一个可接受的解决方案还是以某种方式绕过了安全性?

    推荐文章
    Bruce Phillips  ·  模型状态无效后,选择框未在视图中填充
    7 年前
    Matt Welke  ·  如何在ASP上的请求结束时启动后台作业。净核心?
    7 年前
    ProfK  ·  为什么此viewmodel值不能正确渲染?
    7 年前
    JSON  ·  为什么ModelState不为字符串以外的数据类型返回错误消息?
    7 年前
    TomBombadil  ·  查看本地化
    7 年前
    demonplus  ·  从不同的用户帐户将文件上载到Amazon S3 bucket
    7 年前
    spoilerd do  ·  AJAX将modelview发布到我的控制器
    7 年前
    Metzer  ·  .net core 2.0 MVC-视图-如何访问其他模型属性?
    7 年前
    mahdi_elahitest  ·  正在Asp中初始化DBContext。净核心
    7 年前
    ProfK  ·  即使使用调试配置发布,错误页上也没有详细信息
    7 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号