Ero alla ricerca di questo argomento e ho compilato la soluzione completa di seguito e anche here. Consiste di alcune parti tra cui il metodo di supporto AntiForgeryTokenFilterProvider
e BeginSecureForm
. Permette anche di saltare la convalida per una singola azione con DisableAntiForgeryCheckAttribute
.
public class AntiForgeryTokenFilterProvider : IFilterProvider
{
public IEnumerable<Filter> GetFilters(ControllerContext controllerContext, ActionDescriptor actionDescriptor)
{
IEnumerable<FilterAttribute> filters = actionDescriptor.GetFilterAttributes(true);
bool disableAntiForgery = filters.Any(f => f is DisableAntiForgeryCheckAttribute);
string method = controllerContext.HttpContext.Request.HttpMethod;
if (!disableAntiForgery
&& String.Equals(method, "POST", StringComparison.OrdinalIgnoreCase))
{
yield return new Filter(new ValidateAntiForgeryTokenAttribute(), FilterScope.Global, null);
}
}
}
[AttributeUsage(AttributeTargets.Method)]
public sealed class DisableAntiForgeryCheckAttribute : FilterAttribute
{
}
// Usage:
public class FilterConfig
{
public static void RegisterGlobalFilters(GlobalFilterCollection filters)
{
//**//
FilterProviders.Providers.Add(new AntiForgeryTokenFilterProvider());
//**//
}
}
// Html Helper method
public static class HtmlExtensions
{
public static MvcForm BeginSecureForm(this HtmlHelper html, string action, string controller)
{
var form = html.BeginForm(action, controller);
html.ViewContext.Writer.Write(html.AntiForgeryToken().ToHtmlString());
return form;
}
}
fonte
2016-03-21 20:25:53
Avete dato un'occhiata a [Chameleon Forms] (https://github.com/MRCollective/ChameleonForms)? – Bringer128
@ Bringer128 grazie per questo, ma non propenso a utilizzare un framework per raggiungere questa cosa. – Ahsan
possibile duplicato di [Come estendere o sovrascrivere BeginForm per includere un campo AntiForgeryToken] (http://stackoverflow.com/questions/6552830/how-to-extend-or-override-beginform-to-include-a-antiforgerytoken- campo) –