Нужно ли мне действие ValidateAntiForgeryToken в действии входа?

Question

Имеет смысл только, что этот фильтр по умолчанию (то есть по лесу) применяется к действию a Login, насколько мне известно, этот токен работает лучше всего, когда уже связан с идентификатором входа. С ним применяется к Login, у меня есть проблема, если пользователь пытается войти в два раза, с ошибкой, например, как

Предоставленные против подделки маркеров были предназначены для пользователя «», но в настоящее время пользователя " [theLoggedInUser]».

Теперь пользователь, регистрирующийся дважды, обычно не будет проблемой, но для этого дополнительные усилия, направленные на предотвращение этого, имеют меньший смысл, если ответы на этот вопрос не будут устранены, чем просто удаление проверки из логина действие.

Answer 1

Да, вы должны использовать его. Используя куки-файл и значение скрытой формы, которое оно вставляет, оно помогает предотвратить подделку злоумышленников на ваш сайт и злонамеренные запросы POST.

Это, конечно, будет, когда ypu проверит ваши данные учетной записи пользователя. Без него кто-то мог написать сценарий для принудительной атаки сервера, пытаясь угадать логин пользователя и пароль. Используя функцию проверки подлинности с подтверждением, каждый запрос гарантируется сбой, даже если скрипт генерирует правильный пароль.

Это всего лишь один инструмент из многих, чтобы люди могли получить доступ к функциям вашего сайта так, как вам хочется.

EDIT: Обновлено на основе комментария, но точка все еще стоит. Используйте его;)

Answer 2

Я не думаю, что есть причина использовать токен анти-подделки для форм, для которых не требуется аутентификация. Причина этого заключается в том, что AFT предназначен для предотвращения подделок подпроцесса, где какой-то вредоносный код использует вашего уже зарегистрированного пользователя для выполнения несанкционированных запросов на какой-либо сайт от вашего имени. Таким образом, публикация как «вашего» анонимного пользователя может быть выполнена даже без приветствия вашего запроса. Я вижу довольно неплохой сценарий, когда черная шляпа хочет использовать чужой IP-адрес для публикации, но это не кажется слишком реалистичным.

Если я ошибаюсь в этом вопросе, пожалуйста, просветите меня, поэтому я тоже могу узнать что-то новое и лучшее из моих путей.

Answer 3

Я думаю, вы знаете Почему использовать анти-подделку, поэтому я размещаю здесь несколько советов и решений.

ошибка происходит в некоторых случаях , потому что анти-подделка маркер встраивает имя пользователя, как часть зашифрованных маркеров для лучшей проверки.

Есть много людей, которые дважды щелкают по всему - это нехорошо! Вы можете удалить атрибут проверки, пока ваш сайт будет Включен SSL.В любом случае, решения для решения могут быть:

1. Отключение кнопки отправки (с JS) после щелчка
2. Создать частичный вид только с @Html.AntiForgeryToken() и после входа в систему, сделать другой запрос AJAX обновить анти-подделку лексема с ответом на просьбу
3. Отключение проверки идентификации для анти-подделки путем добавления AntiForgeryConfig.SuppressIdentityHeuristicChecks = true к вашему Application_Start метод

Answer 4

Вы можете использовать, но если вы проверяете, что операции были сделаны дважды или более, вы меняете свою перспективу с анти-подделки на спам. Дважды или более действия можно классифицировать как спам-события. Если вы хотите предотвратить это, напишите какой-нибудь код;

public class PreventSpamAttribute : ActionFilterAttribute 
{ 
    //This stores the time between Requests (in seconds) 
    public int DelayRequest = 10; 
    //The Error Message that will be displayed in case of excessive Requests 
    public string ErrorMessage = "Excessive Request Attempts Detected."; 
    public string ErrorResouceKey = string.Empty; 
    //This will store the URL to Redirect errors to 
    public string RedirectUrl; 

    public override void OnActionExecuting(ActionExecutingContext filterContext) 
    { 
     //Store our HttpContext (for easier reference and code brevity) 
     var request = filterContext.HttpContext.Request; 
     //Store our HttpContext.Cache (for easier reference and code brevity) 
     var cache = filterContext.HttpContext.Cache; 

     //Grab the IP Address from the originating Request (very simple implementation for example purposes) 
     var originationInfo = request.ServerVariables["HTTP_X_FORWARDED_FOR"] ?? request.UserHostAddress; 

     //Append the User Agent 
     originationInfo += request.UserAgent; 

     //Now we just need the target URL Information 
     var targetInfo = request.RawUrl + request.QueryString; 

     //Generate a hash for your strings (this appends each of the bytes of the value into a single hashed string 
     var hashValue = string.Join("", MD5.Create().ComputeHash(Encoding.ASCII.GetBytes(originationInfo + targetInfo)).Select(s => s.ToString("x2"))); 

     //Checks if the hashed value is contained in the Cache (indicating a repeat request) 
     if (cache[hashValue] != null) 
     { 
      //!!!!!!!!!!!!!!!!!!!!!! ATTENTION !!!!!!!!!!!!!!!! 
      //Adds the Error Message to the Model and Redirect 

      //or 

      //Force the action to do anythning!!!!! 

      // My business Solution : 
      //if (!string.IsNullOrEmpty(ErrorResouceKey)) //if error will getting from resouce 
      //{ 
      // throw new BusinessException(ResourceHelper.Current.GetKeyValue(ErrorResouceKey)); 
      //} 

      //throw new BusinessException(ErrorMessage); 
     } 
     //Adds an empty object to the cache using the hashValue to a key (This sets the expiration that will determine 
     //if the Request is valid or not 
     //cache.Add(hashValue, null, null, DateTime.Now.AddSeconds(DelayRequest), Cache.NoSlidingExpiration, CacheItemPriority.Default, null); 

     cache.Add(hashValue, 1, null, DateTime.Now.AddSeconds(DelayRequest), Cache.NoSlidingExpiration, CacheItemPriority.Default, null); 
     base.OnActionExecuting(filterContext); 
    } 
} 

При использовании (вы можете изменить стратегию обработки ошибок);

[PreventSpam(DelayRequest = 5, ErrorMessage = "Please try again in 5 seconds.")] 
    public virtual JsonResult Login() 
    { 
    }