¿Cómo puedo establecer ValidateAntiForgeryToken globalmente

Security al principio.¿Cómo puedo establecer ValidateAntiForgeryToken globalmente

Las mejores prácticas de MVC recomiendan agregar el atributo [ValidateAntiForgeryToken] a cada acción [HttpPost].

¿Cómo puedo hacer cumplir esta regla en un punto único de la aplicación?

2011-03-06 Fabrizio

La clase follwing permite hacer esto con un FilterProvider

public IEnumerable<Filter> GetFilters(ControllerContext controllerContext, ActionDescriptor actionDescriptor) 
{ 
    List<Filter> result = new List<Filter>(); 

    string incomingVerb = controllerContext.HttpContext.Request.HttpMethod; 

    if (String.Equals(incomingVerb, "POST", StringComparison.OrdinalIgnoreCase)) 
    { 
     result.Add(new Filter(new ValidateAntiForgeryTokenAttribute(), FilterScope.Global, null)); 
    } 

    return result; 
}

Para utilizar la clase por encima de añadir esto al método RegisterGlobalFilters en global.asx archivo:

...  
FilterProviders.Providers.Add(new AntiForgeryTokenFilterProvider()); 
..

Haciendo esto, cada [HttpPost] comprobará si el Html.AntiForgeryToken() está en la vista.

Fuente

2011-03-06 20:57:07 Fabrizio

¿Su proveedor de filtros hereda de cualquier clase base? – Paul

El código hará que se cree una lista para cada solicitud a la aplicación. Se puede mejorar usando yield: yield return new Filter (new ValidateAntiForgeryTokenAttribute(), FilterScope.Global, null); – ShadowChaser

enlace a toda la clase por cuestiones de claridad: https://code.google.com/p/vnecoo/source/browse/trunk/Code/Oas2011/OAS/Helpers/AntiForgeryTokenFilterProvider.cs?r=148 – Jon

¿Cómo puedo establecer ValidateAntiForgeryToken globalmente

Respuesta

Cuestiones relacionadas