У меня есть приложение SPA, которое использует некоторые функции ASP.NET MVC4, такие как AntiForgeryToken.
Я не знаю, как реализовать функциональность AntiForgeryToken в HTML без использования CSHTML, который не поддерживается в Phonegap?
У меня есть приложение SPA, которое использует некоторые функции ASP.NET MVC4, такие как AntiForgeryToken.
Я не знаю, как реализовать функциональность AntiForgeryToken в HTML без использования CSHTML, который не поддерживается в Phonegap?
Текущая реализация токена AntiForgery в ASP.NET MVC опирается на вспомогательную функцию HTML, которая создает скрытое поле ввода и устанавливает файл cookie. Если вы не можете использовать этот хелпер, вам придется накатывать эту функциональность самостоятельно.
Я думаю, что есть безопасный способ реализовать токен защиты от подделки без страницы, сгенерированной сервером:
Microsoft предоставила очень похожий пример реализации здесь (см. раздел «Анти-CSRF и AJAX»).
На первый взгляд это может показаться небезопасным, потому что у вас есть метод контроллера, который устанавливает и возвращает маркер защиты от подделки, но веб-браузеры применяют такая же политика безопасности, поэтому XSRF атаки не должны быть возможным.
Поскольку phonegap использует локальные файлы, на него не распространяется политика того же источника (см. здесь), поэтому сможет делать запросы AJAX к любому домену, указанному в вашем config.xml (см. ‹access origin= "..." /› здесь)