AJAX在C#中處理跨站請求偽造(CSRF)

在C#中，處理AJAX請求的跨站請求偽造（CSRF）主要涉及到生成和驗證安全令牌

1. 生成安全令牌：

在用戶登錄時，或者在需要進行安全驗證的操作之前，生成一個安全令牌。這可以通過使用C#的System.Web.Helpers.AntiForgery類來實現。例如：

public ActionResult Login()
{
    // 生成安全令牌
    string token = AntiForgery.GetTokens(HttpContext, out string cookieToken, out string formToken);

    // 將令牌存儲在Cookie或會話中
    HttpContext.Response.Cookies.Append("__RequestVerificationToken", cookieToken);

    return View();
}

2. 將安全令牌添加到AJAX請求中：

在發送AJAX請求時，需要將安全令牌添加到請求頭中。例如，使用jQuery發送AJAX請求：

$.ajax({
    url: '/YourController/YourAction',
    type: 'POST',
    data: { /* your data */ },
    beforeSend: function (xhr) {
        // 從Cookie或會話中獲取安全令牌
        var token = getCookie('__RequestVerificationToken');

        // 將安全令牌添加到請求頭中
        xhr.setRequestHeader('__RequestVerificationToken', token);
    }
});

3. 驗證安全令牌：

在處理AJAX請求的控制器方法中，需要驗證安全令牌。這可以通過使用[ValidateAntiForgeryToken]屬性來實現。例如：

[HttpPost]
[ValidateAntiForgeryToken]
public ActionResult YourAction(/* your parameters */)
{
    // 處理AJAX請求
}

這樣，當收到AJAX請求時，ASP.NET MVC會自動驗證安全令牌，如果令牌無效或缺失，將拋出異常并拒絕請求。

注意：在實際應用中，需要確保在發送AJAX請求之前已經生成了安全令牌，并將其存儲在Cookie或會話中。同時，在處理AJAX請求時，務必驗證安全令牌，以防止跨站請求偽造攻擊。