我的 ASP.NET MVC (v1) 页面上有许多Ajax.ActionLink
's 执行破坏性操作。这是“合法的”,因为DELETE
在这种情况下我将 HttpMethod 设置为,所以它不是破坏性的GET
.
不过,我的问题是如何减轻对此操作的 XSRF 攻击,以便其他站点无法制作相同的 AjaxDELETE
请求以从另一个站点删除用户数据。此 ActionLink 确实出现在包含<%= Html.AntiForgeryToken() %>
但由于 ActionLinks 不发布表单的表单中,因此防伪令牌不会进入控制器,因此无法对其进行验证。