क्या कोई मुझे इसके बारे में अधिक जानकारी बता सकता है?Html.AntiForgery टोकन सहायक फ़ंक्शन क्या है?
उत्तर
असल में विरोधी जालसाजी टोकन किसी को भी आपकी साइट पर अनुरोध सबमिट करने से रोकते हैं वास्तविक उपयोगकर्ता द्वारा उत्पन्न नहीं होने वाली दुर्भावनापूर्ण स्क्रिप्ट द्वारा उत्पन्न होते हैं। एक HTTP केवल कुकी है (ब्राउज़र में चल रही एक स्क्रिप्ट द्वारा पठनीय नहीं है, लेकिन ब्राउज़र द्वारा भेजा गया है और सर्वर द्वारा पहुंचा जा सकता है) जो क्लाइंट को भेजा जाता है, इसका उपयोग एक छिपे हुए फ़ील्ड मान को उत्पन्न करने के लिए किया जाता है जिसे उसके बाद सत्यापित किया जाता है कुकी। कम से कम मुझे लगता है कि यह प्रक्रिया है।
इस का अच्छा वर्णन यहाँ जो है आप वास्तव में क्या कह रहे हैं के बारे में https://blogs.msmvps.com/luisabreu/blog/2009/02/09/the-mvc-platform-the-new-anti-forgery-token/
आम तौर पर, विरोधी-जालसाजी-टोकन एक HTML छिपी हुई इनपुट है जो आपके लिए सीएसआरएफ हमलों से बचने के लिए प्रदान की जाती है। व्यापक रूप से, यह क्लाइंट को क्लाइंट को भेजे गए मान की तुलना करके काम करता है जो क्लाइंट पोस्ट पर वापस भेजता है। क्या आप सब कुछ ढूंढ रहे हैं?
आपको अधिक जानकारी के लिए शायद एमएसडीएन की जांच करनी चाहिए।
AntiForgeryToken
का उपयोग cross-site request forgery हमलों के खिलाफ कम करने में मदद करता है।
जब आप इसका उपयोग करते हैं, तो आपके फॉर्म में एक छिपे हुए फ़ील्ड होंगे और एक कुकी भी ब्राउज़र में सेट की जाएगी।
फिर, जब फॉर्म सबमिट किया जाता है, तो छिपे हुए फ़ील्ड को कुकी मान के विरुद्ध चेक किया जाता है (माना जाता है कि ValidateAntiForgeryTokenAttribute
का उपयोग किया जाता है): यदि फ़ील्ड और कुकी मैच तो फॉर्म पोस्ट शायद वास्तविक है; अगर वे नहीं करते हैं तो शायद यह नहीं है। (एक सीएसआरएफ हमले का प्रयास करने वाला हमलावर छिपे हुए क्षेत्र को बनाने में सक्षम हो सकता है, लेकिन वे संबंधित कुकी मूल्य भी तैयार नहीं कर पाएंगे।)
खैर आज, हम एक वेब अनुप्रयोग में सुरक्षा भंग होने की एक प्रकार है कि क्रॉस साइट रिक्वेस्ट फोर्जरी कहा जाता है पर नजर डालेंगे या है सीएसआरएफ हैक। सीएसआरएफ एक्सएसएस के कम ज्ञात चचेरे भाई हैं। क्रॉस साइट अनुरोध फर्जी एक हैक का एक प्रकार है जहां हैकर उपयोगकर्ता पर किसी वेबसाइट के ट्रस्ट का फायदा उठाता है।
यह करने के लिए आसान तरीका ProductDetails में ValidateAnitForgery टोकन विशेषता का उपयोग कार्रवाई विधि पोस्ट के रूप में इस प्रकार है
[HttpPost]
[Authorize(Roles = "Admins")]
[ValidateAntiForgeryToken()]
public ActionResult Edit(ProductDetails productdetails)
{
if (ModelState.IsValid)
{
db.Entry(productdetails).State = EntityState.Modified;
db.SaveChanges();
return RedirectToAction("Index");
}
return View(productdetails);
}
क्लाइंट की तरफ AntiForgeryToken और कुकी उत्पन्न करने के लिए करने के लिए है, हम यह घोषणा में इस प्रकार है Edit.cshtml
@using (Html.BeginForm()) {
@Html.ValidationSummary(true)
@Html.AntiForgeryToken()
<fieldset>
<legend>ProductDetails</legend>
में HTML प्रपत्र ...
यह सुनिश्चित करता है कि एक फार्म पोस्ट किए जाने से करने के लिए सर्वर वास्तव में जनरल था उसी सर्वर द्वारा मिटाया गया। इस प्रकार नकली रूप जिनमें एंटीफॉर्गेरी टोकन सही सर्वर से नहीं है, अस्वीकार कर दिया जाता है।
इसके अलावा यहां
- 1. पायथन जनरेटर फ़ंक्शन नाम - एक उपसर्ग सहायक है?
- 2. रेलवे सहायक सहायक में सहायक मदद
- 3. सहायक कार्यों के लिए आपका नामकरण सम्मेलन क्या है?
- 4. Magento - एक सहायक वर्ग
- 5. मैं कोडिग्निटर में एक सहायक से एक सहायक कैसे कहूंगा?
- 6. जहां सहायक कार्यों को स्टोर करना है?
- 7. कोको में सहायक कार्य
- 8. टोकन
- 9. टोकन
- 10. ट्रैम्पोलिन फ़ंक्शन क्या है?
- 11. लैम्ब्डा (फ़ंक्शन) क्या है?
- 12. "पृष्ठ फ़ंक्शन" क्या है?
- 13. विरोधी जालसाजी टोकन नमक का उपयोग क्या है?
- 14. क्या एंड्रॉइड ऐप में विस्तारित ऐक्सेस टोकन के साथ फेसबुक टोकन का विस्तार करना संभव है?
- 15. रेल सहायक सहायक फ़ील्ड में विशेषता जोड़ें?
- 16. लिंक_to सहायक
- 17. सहायक दस्तावेज़ों
- 18. एक सहायक विधि
- 19. सहायक और आंशिक के बीच क्या अंतर है?
- 20. क्या स्थिर "डेटाबेस सहायक" वर्ग का उपयोग करना ठीक है?
- 21. RoR 3.2.8: क्या कोई HTML5 combobox सहायक है?
- 22. क्या रेल में बहुवचन के लिए एक सहायक विधि है?
- 23. सहायक अनुरोध
- 24. क्या करता है! फ़ंक्शन ($) {$ (फ़ंक्शन() {})} (window.jQuery) क्या करते हैं?
- 25. सहायक और helper_method क्या करते हैं?
- 26. क्या Django में HTML सहायक हैं?
- 27. क्या मैं एक एमवीसी 3 सहायक
- 28. फ़ंक्शन का __proto__ क्या है?
- 29. फ़ंक्शन अदृश्य() क्या करता है?
- 30. 'मान्य' std :: फ़ंक्शन क्या है?
सरल उदाहरण का उल्लेख मैं बेहतर संबोधित समस्या है क्या समझ करना चाहते हैं। मुझे लगता है कि एक्सएसएस से थोड़ा अलग है। है न? – Lorenzo
@ लोरेन्ज़ो: 'एंटीफोर्गेरी टोकन' का उपयोग सीएसआरएफ के खिलाफ बचाव के लिए किया जाता है, न कि एक्सएसएस। http://en.wikipedia.org/wiki/Cross-site_request_forgery – LukeH
@LukeH: सुधार के लिए धन्यवाद। –