MVC的防伪支持将唯一值写入仅HTTP的cookie,然后将相同的值写入表单。提交页面后,如果cookie值与表单值不匹配,则会引发错误。
请务必注意,该功能可防止跨站点请求伪造。也就是说,来自另一个站点的表单会发布到您的站点,以尝试使用经过身份验证的用户的凭据提交隐藏的内容。攻击包括诱使已登录的用户提交表单,或者仅在页面加载时以编程方式触发表单。
该功能不会阻止任何其他类型的数据伪造或基于篡改的攻击。
要使用它,请用
ValidateAntiForgeryToken属性装饰action方法或控制器,并
@Html.AntiForgeryToken()在发布到方法的表单中调用。
