У меня есть приложение SPA, которое использует некоторые функции ASP.NET MVC4, такие как AntiForgeryToken.Преобразование ASP.NET MVC4 SPA AntiForgeryToken to PhoneGap
Я не знаю, как реализовать функции AntiForgeryToken в HTML без использования CSHTML, который не поддерживается в Phonegap?
Текущая реализация токена AntiForgery в ASP.NET MVC основана на HTML-помощнике, который генерирует скрытое поле ввода и устанавливает cookie. Если вы не можете использовать этого помощника, вам придется вручную перевернуть эту функцию.
Я думаю, что есть безопасный способ реализации анти-подделка маркеров без сервера сгенерированной страницы:
Microsoft предоставила очень похожий пример реализации here (см. Раздел «Анти-CSRF и AJAX»).
На первый взгляд это может показаться небезопасным, поскольку у вас есть метод контроллера, который устанавливает и возвращает токен анти-подделки, но веб-браузеры применяют same origin security policy, поэтому атаки XSRF не должны быть возможны.
Поскольку PhoneGap использует локальные файлы, не подлежит к same origin policy (see here), поэтому он будет иметь возможность сделать AJAX запросы в любой домен, указанный в вашем config.xml (see <access origin="..." /> here)
Hi Дарин. Спасибо за ваш быстрый ответ. Проблема в том, что если я хочу развернуть приложение в PhoneGap, я не могу использовать ASP.NET MVC. Вы знаете, как реализовать эту функциональность, не полагаясь на сервер для генерации HTML? –
Вы не можете реализовать эту функцию без сценария на стороне сервера. Это не имеет никакого смысла. Весь смысл токена antiforgery - иметь сервер, который генерирует этот токен. –
ОК. У меня есть идея, что я создаю простую HTML-страницу, которая сделает запрос AJAX некоторым методом на ASP.NET WebAPI, который будет генерировать токен и возвращать его клиенту. Чем я могу использовать этот токен в следующем запросе к WebAPI? Что-то вроде того. Как вы думаете ? –