Skip Navigation Links
Novas Tecnologias
Ferramentas Adicionais
Ferramentas Adicionais


Dica No :
1070
Assunto : ASP.NET
Titulo: Protegendo controllers com AntiForgeryToken

Gostou do texto ? Vote e dê sua opinião! Pontuação atual :

Translate this page now :






Adicione aos Favoritos!
BlogBlogs Rec6 Linkk Ueba Technorati Delicious DiggIt! StumbleUpon




As chamadas HTTP, tal como chamadas POST, podem ser produzidas por qualquer site ou qualquer aplicação.

Assim sendo, um controller que esteja esperando uma requisição POST não vai necessariamente sempre recebe-la da View. A requisição pode vir de outro site ou até mesmo de uma aplicação construida para forjar a requisição Post.

Para evitar isso podemos utilizar na nossa aplicação o recurso do AntiForgeryToken. É muito fácil implementar, em 2 passos :

Adicione o atributo [ValidateAntiForgeryToken] nos métodos chamados via POST

Inclua o AntiForgeryToken nos formulários da View utilizando @HTML.AntiForgeryToken


Com esses dois passos apenas nossa view conseguirá provocar o POST para o controler.

Funciona da seguinte forma :

O helper do AntiForgeryToken cria um cookie com os códigos de AntiForgery e insere o código mais recente como campo hidden na página

O atributo ValidateAntiForgeryToken funciona como um filtro (implementa o IAuthorizationFilter) e verifica se o cookie está presente e se o valor do campo hidden bate com o último valor do cookie.


Desta forma o AntiForgeryToken é um recurso quase obrigatório para garantir a segurança da sua aplicação.

Nome :
E-mail:
Comentarios :
 
 
Os Últimos Comentários
data: 6/24/2015 9:41:00 AM
nome: Paulo Correa
email: pdelphi@hotmail.com
comentário:
Legal, o comentário. Fui fazer um teste em uma empresa e não soube explicar. Se tivesse lido isso antes, com certeza estaria agradecendo a vocês, pois o conteúdo é conciso, simples, só não entende quem não lê. Obrigado a todos.

data: 6/18/2015 9:53:00 AM
nome: Cesar
email: cssi@bol.com.br
comentário:
Muito bom, site referência

data: 2/2/2015 6:44:00 AM
nome: Vanessa Mello Souza
email: mello.vanessassilva@gmail.com
comentário:
Muito bom texto. Simples e altamente explicativo. Obrigada!

 1  
Dicas
Dica do Dia
Receba Dicas Por Email
E-mail :  
 


 (help)
Aceito receber informativos do devASPNet, informações de eventos e treinamentos

Veja Quais Informativos Você Receberá

Pesquisar Dicas
Pesquisar Artigos, Dicas e Noticias

Banco de Dados
Algumas Entrevistas
Links Importantes

Búfalo Informática, Treinamento e Consultoria
R. Alvaro Alvim, 37/920 Centro - Cinelândia - Rio de Janeiro Cep: 20031-010
Tel : (21) 2262-1368 (21) 9240-5134 E-mail : Contato@bufaloinfo.com.br