Я хотел бы закрыть CSRF-уязвимость для публикации необработанного JSON через AJAX.
Я знаком с механизмом MVC для автоматизации защиты от CSRF с помощью ValidateAntiForgeryTokenAttribute
и @Html. AntiForgeryToken()
; однако, если я правильно понимаю, этот механизм требует, чтобы POST
был выполнен с Content-Type
от application/x-www-form-urlencoded
(или аналогичным). Есть ли в ASP.Net MVC встроенный механизм, который будет отклонять CSRF для POST
запросов с Content-Type
из application/json
? Если нет, то мне придется поместить защиту от подделки в сам объект JSON? Можете ли вы порекомендовать технику защиты JSON POST-запросов от CSRF-уязвимости с тем же уровнем безопасности, что и подход на основе форм, встроенный в ASP.Net MVC?