ASP.NET Core 2.0中Razor页面禁用防伪令牌验证

*** Core 2.0是一个重要的.NET框架版本，它不仅增加了许多新特性，还引入了新的Web开发模型Razor Pages，这使开发者可以更方便地创建动态网站。Razor Pages的一个显著特点是，它默认启用了防伪令牌（Antiforgery Token）验证，以帮助防御跨站请求伪造（Cross-Site Request Forgery，简称CSRF）攻击。在某些特定情况下，开发者可能希望关闭这一默认行为，本文将具体介绍如何在*** Core 2.0中完全或者部分地禁用Razor页面的防伪令牌验证。 ### CSRF攻击简介 跨站请求伪造攻击是一种针对网站的常见安全威胁，攻击者诱使用户访问恶意网站，通过用户已经验证过的会话进行非法操作。由于Web浏览器会自动携带用户身份验证信息（比如cookie），攻击者就可以利用这些信息对用户信任的网站发起请求。这种攻击通常被称为“一键式攻击”，因为它通常仅需用户点击链接或按钮即可实施。 ### Razor页面与防伪令牌 Razor页面是*** Core 2.0引入的一种新的Web开发模式，旨在简化Web应用的构建。在Razor页面中，防伪令牌验证被默认开启以保护应用免受CSRF攻击。防伪令牌通过FormTagHelper在表单提交时生成，并在后端进行验证。 ### 禁用防伪令牌的全局方法 如果开发者认为禁用防伪令牌验证对应用更为合适，可以在应用程序启动时进行配置。通过修改Startup类中的ConfigureServices方法，可以全局地禁用防伪令牌的验证过程。具体操作如下： 1. 在Startup类的ConfigureServices方法中配置，使用AddRazorPagesOptions添加Razor页面选项，配置其中的Conventions，添加IgnoreAntiforgeryTokenAttribute过滤器。这样做将禁用所有页面上的防伪令牌验证。 ```csharp public void ConfigureServices(IServiceCollection services) { services.AddMvc().AddRazorPagesOptions(options => { options.Conventions.ConfigureFilter(new IgnoreAntiforgeryTokenAttribute()); }); } ``` 2. 除了上面的方法外，还可以通过全局配置FormTagHelper禁用令牌生成。在AddMvc方法中使用InitializeTagHelper初始化FormTagHelper，并将Antiforgery属性设置为false。 ```csharp public void ConfigureServices(IServiceCollection services) { services.AddMvc().InitializeTagHelper<FormTagHelper>((helper, context) => helper.Antiforgery = false); } ``` 3. 将上述两个方法结合使用，即可实现对整个应用程序的防伪令牌验证的全局禁用。 ### 禁用防伪令牌的部分方法 如果只需在特定页面或特定方法上禁用防伪令牌验证，有以下两种选择： 1. 在Startup类的ConfigureServices方法中配置特定页面的路径，并使用AddPageApplicationModelConvention添加一个针对特定页面的过滤器，即IgnoreAntiforgeryTokenAttribute。 ```csharp public void ConfigureServices(IServiceCollection services) { services.AddMvc().AddRazorPagesOptions(options => { options.Conventions.AddPageApplicationModelConvention("/demo", pageApplicationModel => pageApplicationModel.Filters.Add(new IgnoreAntiforgeryTokenAttribute())); }); } ``` 2. 在特定页面的PageModel类上使用[IgnoreAntiforgeryToken(Order=1001)]属性标记，以禁用该页面的防伪令牌验证。需要注意的是，[ValidateAntiForgeryToken]属性默认的Order是1000，所以IgnoreAntiforgeryToken的Order要设置得更高以覆盖前者。 ```csharp [IgnoreAntiforgeryToken(Order=1001)] public class DemoModel : PageModel { public void OnPost() {} } ``` 此外，如果需要在具体的Razor页面表单中禁用防伪令牌的生成，可以在<form>标签中使用asp-antiforgery="false"属性。 ### 结语 通过本文的介绍，读者应该了解了在*** Core 2.0中Razor页面如何禁用防伪令牌验证的操作。无论是全局禁用还是部分禁用，都可以根据具体需求选择合适的方法。然而，开发者在禁用防伪令牌验证时应格外小心，确保对于禁用带来的安全风险有足够的认识和准备，防止Web应用遭受CSRF等安全威胁。