Qu'est-ce que le cookie .AspNetCore.Antiforgery.xxxxxxx dans .Net Core?

ASP.NET Core recherche ce cookie pour trouver le jeton X-CSRF.

ValidateAntiForgeryToken est un filtre d'action qui fait que les requêtes effectuées sur les actions auxquelles ce filtre est appliqué seront bloquées, sauf si la requête comprend un jeton anti-corruption valide.

En général, ASP.NET Core peut rechercher le jeton dans le cookie ou l'en-tête. Vous pouvez donc avoir la situation lorsque

• au lieu d'un cookie, l'en-tête est utilisé pour transmettre le jeton
• le cookie avec jeton a un nom différent de celui attendu par ASP.NET Core.

Par défaut, ASP.NET Core génère et attend un nom de cookie unique commençant par DefaultCookiePrefix (".AspNetCore.Antiforgery.").

Cela pourrait être annulé en utilisant une option anti-corruption CookieName:

services.AddAntiforgery(options => options.CookieName = "X-CSRF-TOKEN-COOKIENAME");

Pour . Net Core 2.0.0 ou supérieur, il y aura des changements :

Référence: https://docs.Microsoft.com/en-us/dotnet/api/Microsoft.AspNetCore.Antiforgery.AntiforgeryOptions?view=aspnetcore-2.

Pour cette utilisation, utilisez:

services.AddAntiforgery(options => options.Cookie.Name = "X-CSRF-TOKEN-COOKIENAME");

Si l'on parle d'en-tête, le nom pourrait être spécifié par:

services.AddAntiforgery(options => options.HeaderName = "X-XSRF-TOKEN");

Examiner:

• Prévention des attaques de contrefaçon de requêtes intersites (XSRF/CSRF) dans ASP.NET Core
• readme in Antiforgery repo contient des liens vers des exemples
• SO: tilisation du cookie antiforgery dans ASP.NET Core mais avec un CookieName non défini par défaut