1. ホーム
  2. 質問と答え
  3. ASP.NET MVC 4 BetaのエディタテンプレートはCSRFに対して安全ですか?

ASP.NET MVC 4 BetaのエディタテンプレートはCSRFに対して安全ですか?

2012-04-01 16 views
2

ASP.NET MVC 4 Betaテンプレートによって生成されたページは、クロスサイトリクエスト偽造に対して安全ですか?ASP.NET MVC 4 BetaのエディタテンプレートはCSRFに対して安全ですか?

具体的には、「読み取り/書き込みアクションとビューを持つコントローラ、CSRFに対して保護されたEntityFrameworkを使用するコントローラ」によって生成される「編集」ビューとコントローラアクションはありますか?

編集フォームで生成されたHTMLコードを調べると、非表示フィールドや偽造防止トークンを実装する別の方法が表示されません。

何かが見つからない、またはデフォルトの例が安全でないですか?

出典

2012-04-01 Fernando Correia

+0

脆弱なコードを生成するテンプレートはセキュリティのバグです。私はバグレポート[Microsoft Connect](https://connect.microsoft.com/VisualStudio/feedback/details/734975/code-generation-recipes-templates-must-not-generate-code-vulnerable-to-csrf)を提出しました。 - 攻撃)。 –

+0

私はあなたのタイトルから4を落としてしまいます。コントローラーもコントローラーテンプレートではなくエディターテンプレートです。これはMVC 2では初めてのことですが、MVC 3やMVC 4では新しいことではありません。 – RickAndMSFT

+0

私が理解しようとしているのは、現在のベータ版がデフォルトのテンプレートやレシピでCSRFに対する保護を実装しているかどうかです。私はすでに古いバージョンではないことを知っています。 –

答えて

15

明示的に偽造トークンを実装する必要があります。ビューで

​​

コントローラ

[HttpPost] 
[ValidateAntiForgeryToken] 
public ActionResult MyAction(MyViewModel model) 
{ 
    ...

であなたはいつもあなたのためにこれを生成するためのカスタムT4テンプレートを作成し、ない、すぐにテンプレートをすることができますデフォルトではこれを行わないでください。

出典

2012-04-01 18:19:13 danludwig

+0

提供されたASP.NET MVCテンプレートがCSRFに対して脆弱なコードを生成し、これを修正する方法のサンプルコードを提供していることを確認していただきありがとうございます。 –

+0

これはIEでは動作しません。 :(私はIEで私を助けることができますか? –

関連する問題

 関連する問題