Ciao a tutti.

Non sono un gran esperto di sicurezza in MVC.

Ma da quel che ho letto è bene aggiungere (decorare) i metodi del controller MVC con [ValidateAntiForgeryToken].

Il problema è che senza [ValidateAntiForgeryToken] il controllo (il metodo ActionResult) viene "raggiunto" correttamente se invece decoro l'ActionResult con [ValidateAntiForgeryToken] ottendo un errore


cosi la pagina mvc viene vista correttamente

     [HttpPost]
     public ActionResult Login()
        {
            if (Cookies.MVC.IsHomePageCookieComplete)
            { ...


decorando con [ValidateAntiForgeryToken] va in errore

     [HttpPost]
     [ValidateAntiForgeryToken]
     public ActionResult Login()
        {
            if (Cookies.MVC.IsHomePageCookieComplete)
            { ...



ottengo l'errore

Server Error in '/' Application.
The resource cannot be found.
Description: HTTP 404. The resource you are looking for (or one of its dependencies) could have been removed, had its name changed, or is temporarily unavailable. Please review the following URL and make sure that it is spelled correctly.

Ho cercato un po su web ma non ho trovato/capito come fare per impostare correttamente l'attributo.

Filippo
1.403 messaggi dal 27 dicembre 2005
Lo hai anche messo nella tua View ?

@Html.AntiForgeryToken()
Si.

Esattamente come mi hai indicato.

Tra l altro ho letto su web che nel caso di azione GET l antiforgery non serve ma solo nel POST.

E una materia piuttosto ampia vedro di approfondire perché importante.

Grazie

Filippo
1.403 messaggi dal 27 dicembre 2005
Figurati
Piacere di averti aiutato.

Torna al forum | Feed RSS

ASPItalia.com non è responsabile per il contenuto dei messaggi presenti su questo servizio, non avendo nessun controllo sui messaggi postati nei propri forum, che rappresentano l'espressione del pensiero degli autori.