Day22 - Ajax 加上 Antiforgery Token (二) - iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

2021 iThome 鐵人賽

DAY 22

自我挑戰組

Asp.Net Core 從 Post FormData 走到輕前端 Vue系列第 22 篇

Day22 - Ajax 加上 Antiforgery Token (二)

13th鐵人賽 c# vue.js asp.net core

水無痕

2021-09-22 08:55:38

764 瀏覽

分享至

Case01

與 Day21 重點差異的部份：

Controller 內 Action：

加上 ValidateAntiForgeryToken Attribute

// ...

[HttpPost, Route("api/[controller]/[action]")]
[ValidateAntiForgeryToken]
public IActionResult PostCase01([FromBody]ViewModel vm)
{
    return Ok(vm);
}

// ...

View ：

新增 Partial View _Antiforgery.cshtml

@inject Microsoft.AspNetCore.Antiforgery.IAntiforgery Xsrf
@functions{
    private string GetAntiXsrfRequestToken()
    {
        return Xsrf.GetAndStoreTokens(Context).RequestToken;
    }
}

<script>
    window.Antiforgery = {};
    Antiforgery.RequestVerificationToken = '@(GetAntiXsrfRequestToken())';
</script>

Case01

View 加上引用上述的 Partial View

...

@section Scripts
{
    <partial name="_Antiforgery"/>
    <script>
    const app = createApp({
        setup(){

...

fetch 加上 Header RequestVerificationToken

// ...
    fetch(post_url, {
        method: 'POST',
        headers: {
            'Content-Type': 'application/json',
            'RequestVerificationToken' : Antiforgery.RequestVerificationToken
        },
        body: JSON.stringify(vue_model),
    })

// ...

參考資料：Prevent Cross-Site Request Forgery (XSRF/CSRF) attacks in ASP.NET Core

下一篇來看看把 Day17 範例改用輕前端 Vue !