[解決済み] ValidateAntiForgeryTokenの目的・解説・使用例

質問

について説明してください。 ValidateAntiForgeryToken（ヴァリデート アンチフォージェリー トークン について、その目的と例を示します。 ValidateAntiForgeryToken をMVC 4で使用できますか？

この属性について説明している例は見つかりませんでしたか？

どのように解決するのですか？

MVCのアンチフォージェリーサポートは、HTTP専用のクッキーにユニークな値を書き込み、同じ値をフォームに書き込みます。ページが送信されるとき、クッキーの値がフォームの値と一致しない場合はエラーが発生します。

ここで重要なのは、この機能によって クロスサイトリクエストフォージェリ . つまり、認証されたユーザーの資格情報を使って隠されたコンテンツを送信しようとする、他のサイトのフォームがあなたのサイトに投稿されることです。この攻撃では、ログインしているユーザーを騙してフォームを送信させるか、ページがロードされたときにプログラムでフォームをトリガーさせるだけです。

この機能は、その他のタイプのデータ偽造や改ざんに基づく攻撃を防ぐものではありません。

使用するには、アクションメソッドまたはコントローラを ValidateAntiForgeryToken 属性の呼び出しと @Html.AntiForgeryToken() を、そのメソッドに投稿するフォームに追加します。