AntiForgeryToken

[marcialwushu]

O AntiForgeryToken, também conhecido como CSRF (Cross-Site Request Forgery) token, é uma medida de segurança usada em aplicações web para evitar ataques de falsificação de solicitação entre sites.

No contexto do MVC (Model-View-Controller) do .NET, o AntiForgeryToken é implementado da seguinte forma:

1. O desenvolvedor adiciona o atributo [ValidateAntiForgeryToken] em ações ou controladores que requerem proteção contra CSRF.
2. Ao carregar a página que contém um formulário, o servidor gera um token exclusivo e seguro, conhecido como AntiForgeryToken.
3. O token é armazenado em um cookie seguro no lado do cliente.
4. Quando o formulário é enviado, o token é incluído como um campo oculto no corpo da solicitação HTTP.
5. Ao receber a solicitação, o servidor verifica se o token enviado corresponde ao token armazenado no cookie.
6. Se o token não corresponder ou estiver ausente, a solicitação é considerada inválida e pode ser rejeitada.

Essa abordagem garante que apenas solicitações legítimas originadas do próprio site possam ser processadas pelo servidor, impedindo que terceiros mal-intencionados executem ações indesejadas em nome do usuário autenticado.

[marcialwushu]

O atributo [ValidateAntiForgeryToken] no ASP.NET MVC é usado para proteger contra ataques de falsificação de solicitação entre sites (CSRF). Ele trabalha em conjunto com o AntiForgeryToken, que é um token exclusivo gerado pelo servidor e usado para verificar a autenticidade das solicitações.

Quando um formulário é carregado em uma página, o servidor gera um AntiForgeryToken usando a função Html.AntiForgeryToken() no código da View. Esse token é armazenado em um cookie seguro chamado "__RequestVerificationToken".

Quando o formulário é enviado pelo usuário, o token é incluído como um campo oculto no corpo da solicitação HTTP usando a função Html.AntiForgeryToken(). Além disso, o token também é enviado como um cabeçalho HTTP chamado "RequestVerificationToken".

Ao receber a solicitação POST no controlador, o atributo [ValidateAntiForgeryToken] verifica se o token enviado corresponde ao token armazenado no cookie. Se houver uma correspondência, a solicitação é considerada legítima e processada normalmente.

Se os tokens não corresponderem ou estiverem ausentes, uma exceção do tipo HttpAntiForgeryException será lançada, indicando que a solicitação pode ser falsa ou mal-intencionada.

O processo de validação do AntiForgeryToken ocorre automaticamente no pipeline de processamento do ASP.NET MVC. O atributo [ValidateAntiForgeryToken] é aplicado em ações ou controladores para habilitar essa verificação automática.

Ao adicionar esse atributo, o ASP.NET MVC verifica automaticamente se o token está presente e válido antes de executar a ação correspondente. Isso ajuda a garantir que apenas solicitações legítimas possam ser processadas pelo servidor.

Em resumo, o atributo antiForgeryToken no ASP.NET MVC usa um token gerado pelo servidor para proteger contra ataques CSRF. Ele verifica automaticamente a autenticidade do token antes de processar a solicitação, garantindo que apenas solicitações legítimas sejam aceitas.