ASP.NET MVC – ValidateAntiForgeryToken dla całego kontrolera

W poprzednim poście – ASP.NET MVC – zabezpieczenie przed Cross-Site Request Forgery – opisałem podstawowy mechanizm zabezpieczania się przed Cross-Site Request Forgery. Ma on jednak pewne ograniczenia. Zwykle ‚AntiForgeryToken‚ przesyłany jest tylko razem z żądaniem typu POST – raczej nie stosuje się żądań typu GET do zatwierdzania formularzy. Typowy kontroler posiada najczęściej wiele akcji POST, jeśli więc chcielibyśmy aby w naszej aplikacji wszystkie formularze były zabezpieczone przed CSRF, musielibyśmy we wszystkich kontrolerach, akcje POST udekorować osobnym atrybutem ‚ValidateAntiForgeryToken‚ (implementacja tego atrybutu nie zabrania użyć go do udekorowania nim całej klasy kontrolera – jednak jeśli byśmy to zrobili, walidator oczekiwałby tokena walidującego także podczas wywoływania metod GET, co skutkowałoby oczywiście błędem).

Jednym z rozwiązań jest stworzenie własnego atrybutu, którego użycie w kontekście całej klasy kontrolera, skutkowałoby dodaniem walidacji tokena do wszystkich akcji typu POST (i tylko ich). Poniżej implementacja takiego atrybutu:

[AttributeUsage(AttributeTargets.Class, AllowMultiple = false, Inherited = true)]
public class ValidateGlobalAntiForgeryTokenAttribute : FilterAttribute, IAuthorizationFilter
{ 
  private readonly ValidateAntiForgeryTokenAttribute validator;
  private readonly AcceptVerbsAttribute acceptedVerbs;
 
  public ValidateGlobalAntiForgeryTokenAttribute()
  { 
    this.validator = new ValidateAntiForgeryTokenAttribute();
    this.acceptedVerbs = new AcceptVerbsAttribute(HttpVerbs.Post);
  } 
 
  public void OnAuthorization(AuthorizationContext filterContext)
  { 
    string httpMethodOverride = filterContext.HttpContext.Request.GetHttpMethodOverride();
    if (this.acceptedVerbs.Verbs.Contains(
      httpMethodOverride, 
      StringComparer.OrdinalIgnoreCase)) 
    { 
      this.validator.OnAuthorization(filterContext);
    } 
  } 
}

Jak widać, w konstruktorze naszego globalnego atrybutu walidacyjnego, inicjalizowany jest standardowy atrybut walidujący ‚ValidateAntiForgeryTokenAttribute‚. Ponadto opisywana klasa zawiera pole ‚acceptedVerbs‚ (typ ‚AcceptVerbsAttribute‚) – podczas jej inicjalizacji, w konstruktorze podajemy jakie typy akcji będą akceptowane przez nasz atrybut – w naszym przypadku walidowane mają być tylko akcje typu POST, dlatego od konstruktora przekazujemy tylko wartość ‚Post’ enuma ‚HttpVerbs’.

Polecam szkolenia:

Przejdźmy teraz do metody ‚OnAuthorization‚ – jest ona wywoływana dla każdej akcji opatrzonej naszym atrybutem walidującym. W jej implementacji, najpierw pobierana jest informacja o tym, jaki jest sposób przesyłu żądania danej akcji – metoda ‚GetHttpMethodOverride‚ (jest to ‚extension method‚ dla klasy ‚HttpRequest‚). Następnie sprawdzane jest czy pobrana informacja znajduje się wśród akceptowanych przez nas metod przesyłu danych (zawartych w polu ‚acceptedVerbs‚). Jeśli sprawdzenie powiedzie się, puszczamy w ruch właściwą walidację tokena dla danej akcji. Poniżej przykład użycia tak utworzonego atrybutu:

[ValidateGlobalAntiForgeryToken] 
public class AccountController : Controller
{ 
  private AccoutRepository accountRepository;
 
  public AccountController(AccountRepository accountRepository)
  { 
    this.accountRepository = accountRepository;
  } 
  
  [HttpGet] 
  public ActionResult EditAccountData() 
  { 
    Account account = this.accountRepository.GetAccount();
 
    AccountViewModel viewModel = new AccountViewModel();
    viewModel.Email = account.Email; 
 
    return View(viewModel); 
  } 
 
  [HttpPost] 
  public ActionResult EditAccountData(AccountViewModel viewModel)
  { 
    Account account = this.accountRepository.GetAccount();

    account.Email = viewModel.Email; 
 
    this.accountRepository.Save(account);
 
    return this.RedirectToAction("Index", "Home"); 
  } 
}

Tak jak widać, klasa ‚AccountController‚ udekorowany został przez opisany wcześniej atrybut – zamiast dodawać atrybut ‚ValidateAntiForgeryToken‚ do każdej akcji kontrolera, wymusiliśmy walidację tokena globalnie.

|

2 komentarze do “ASP.NET MVC – ValidateAntiForgeryToken dla całego kontrolera

 1. Na wstępnie, ciekawy POST 🙂 a tak przy okazji w jaki sposób można dodać ziarno do powyższego przykładu?

 2. Na wstępie, dzięki 😉

  Co do pytania, to ‚salt’ można przekazać w konstruktorze klasy ‚ValidateGlobalAntiForgeryTokenAttribute’. W jego ciele mamy tworzenie obiektu this.validator – kiedy zostanie on utworzony możemy przypisać sól do this.validator.Salt – nie pisałem nic o tym ponieważ w najnowszej wersji ASP.NET MVC właściwość ‚Salt’ jest oznaczona jako ‚Obsolete’ (pisałem o tym w poprzednim poście) 😉

Komentowanie zostało wyłączone.