ASP.NET核心AntiforgeryToken cookie的过期时间设置为1969年

是不合理的。AntiforgeryToken是ASP.NET核心中用于防止跨站请求伪造攻击的一种机制，它通过生成和验证令牌来确保请求的合法性。

在ASP.NET核心中，AntiforgeryToken cookie的过期时间是由系统自动设置的，默认情况下，过期时间是会话级别的，即当用户关闭浏览器时，该cookie会被删除。如果需要自定义AntiforgeryToken cookie的过期时间，可以通过配置AntiforgeryOptions中的Cookie属性来实现。

例如，可以通过以下代码将AntiforgeryToken cookie的过期时间设置为30分钟：

services.AddAntiforgery(options =>
{
    options.Cookie.Expiration = TimeSpan.FromMinutes(30);
});

这样设置后，AntiforgeryToken cookie将在用户最后一次访问网站后的30分钟内保持有效。

AntiforgeryToken的应用场景包括但不限于：

防止跨站请求伪造攻击（CSRF）：通过验证AntiforgeryToken来确保请求的合法性，防止恶意网站利用用户的身份发送伪造请求。
表单提交验证：在表单提交时，生成AntiforgeryToken并将其嵌入到表单中，服务器在接收到请求时验证该令牌，确保请求的合法性。

腾讯云提供了一系列云计算相关的产品和服务，其中包括但不限于：

云服务器（CVM）：提供可扩展的计算能力，支持多种操作系统和应用场景。
云数据库（CDB）：提供高可用、可扩展的数据库服务，支持主流数据库引擎。
云存储（COS）：提供安全可靠的对象存储服务，适用于图片、视频、文档等多种类型的数据存储。
人工智能（AI）：提供图像识别、语音识别、自然语言处理等人工智能相关的服务和API。
物联网（IoT）：提供物联网设备接入、数据采集、设备管理等物联网相关的服务。
移动开发（Mobile）：提供移动应用开发、推送服务、移动分析等移动开发相关的服务。

更多关于腾讯云产品的详细介绍和文档可以参考腾讯云官方网站：https://cloud.tencent.com/

相关·内容

C# AntiForgeryToken防XSRF漏洞攻击

email=123，当用户点击这条链接时会直接修改A站点的用户邮箱。 2.ASP.NET 防XSRF攻击 ASP.NET提供了AntiForgery类防止XSRF攻击。...AntiForgery的使用如下：在ASP.NET页面中添加如下代码 @Html.AntiForgeryToken() 在Controller的Action上添加属性ValidateAntiForgeryToken...3.AntiForgery防XSRF攻击原理在执行@Html.AntiForgeryToken()语句时，会在cookie中写入一个经过加密后的数据，并在页面中添加一个隐藏域一并写入加密后的数据(默认名称为...中AntiForgeryToken对象(第一访问页面该对象为空)。...AntiForgeryToken有个SecurityToken属性，类型为BinaryBlob。

1.3K1 0

认识ASP.NET MVC的5种AuthorizationFilter

为了检验ASP.NET MVC对请求输入的验证，我们将表示参数foo的查询字符串的值设置为为“”。...除此之外，该方法的调用还会根据这个防伪令牌设置一个Cookie。接下来我们来详细地来讨论这个过程。上述的这个防伪令牌通过内部类型为AntiForgeryData的对象生成。...如下面的代码片断所示，AntiForgeryData具有四个属性，其核心是通过属性Value表示的值。属性UserName和CreationDate表示访问令牌授权的用户名和创建时间。...系统当前时间（UTC）作为该AntiForgeryData对象的创建时间，但是该AntiForgeryData对象的UserName和Salt属性为空。...AntiForgeryToken返回的是一个类型为hidden的元素对应的HTML，该Hidden元素的名称为“__RequestVerificationToken”（即代码访问令牌Cookie

1.5K6 0

ASP.NET MVC编程——验证、授权与安全

） ASP.NET 4.5 集成Anti-XSS Library，可以通过配置来对整个网站的输出进行编码。...实现机制：AntiForgeryToken方法向用户浏览器cookie中写入一个加密的数据，并在表单内插入一个隐藏栏位，每次刷新页面时隐藏栏位的值都不同，每次执行控制器操作前，都会验证隐藏栏位和浏览器...，浏览器无法访问 2）在编写代码时为每个cookie单独设置 Response.Cookies["cok"].Value = Guid.NewGuid().ToString(); Response.Cookies...也可以设置不要绑定的字属性，但优先选择设置要绑定的属性。...时间仓促，水平有限，如有不当之处，欢迎指正。

3.1K6 0

.NET Core实战项目之CMS 第十四章开发篇-防止跨站请求伪造（XSRFCSRF）攻击处理

获取到 cookie_session_id，保存到浏览器 cookie 中。在未登出服务器 A ，并在 session_id 失效前用户浏览位于 hacked server B 上的网站。...在ASP.NET Core MVC 2.0或更高版本中，FormTagHelper为HTML表单元素注入防伪造令牌。...: CSHTML复制 @Html.AntiForgeryToken() 在每个前面的情况下，ASP.NET Core...Cookie属性使用的属性CookieBuilder类。...选项描述 Cookie 确定用于创建防伪 cookie 的设置。 FormFieldName 防伪系统用于呈现防伪令牌在视图中的隐藏的窗体字段的名称。

4K2 0

快速入门系列--MVC--05行为

ASP.NET是通过线程池的机制来处理并发的HTTP的请求的，这种方式的优点是：工作线程的重用，减少线程的创建和释放；限制工作线程数量，避免高并发时服务器的崩溃。...这是一个关于异步操作很重要的类型，其属性OutstandingOperatons是一个异步操作计数器，类似信号量的概念，用Increment设置初始值，当一个或多个异步操作完成时递减，为0时表示有所操作已完成...需要注意的细节是设置初始值的方法需要放在异步操作的外部，异步操作的超时时间可以通过AsyncTimeoutAttribute特性的Duration属性来设置。...在View中通过调用AntiForgeryToken方法，在页面中生一个值为防伪令牌字符串的hidden类型的元素，并且设置一个具有HttpOnly的Cookie。...对于加入防伪令牌的View在第一次访问或者Cookie不存在时，创建Cookie并设置HttpOnly标签，这样浏览器就无法通过脚本获得Cookie，保证了Cookie的安全。

5657 0

asp.net core 3.x 身份验证-1涉及到的概念

（下面会说）将票证加密成字符串写入cookie 携带cookie请求：用户发起请求身份验证中间件尝试获取并解密cookie，进而得到含用户标识的票证（下面会说）将用户标识设置到HttpContext.User...因为我们还需要额外的控制，比如过期时间，这个属性只是在身份验证阶段来判断是否过期，在我们（如Controller.Action中）使用用户标识的时候并不需要此字段，类似的额外字段根据不同的身份验证方式可能有很多...，因此定义了“用户票证”这个概念，它包含用户标识 + 身份验证过程中需要的额外属性（如得到用户标识的时间、过期时间等）身份验证处理器AuthenticationHandler 参考上面的用户名密码+...cookie身份验证流程我们发现有几个核心的处理步骤：在登录时验证通过后将用户标识加密后存储到cookie，SignIn 当用户注销时，需要清楚代表用户标识的cookie，SignOut 在登录时从请求中获取用户标识...可以把它理解为IDictionary（方案配置容器） + 一些默认值设置。

2.4K3 0

使用cookie来做身份认证

ExpireTimeSpan 设置存储在 cookie 里面的认证票据的过期时间。服务端会验证加密的 ticket 的有效性。...在设置了IsPersistent之后也能在 Set-Cookie 头里面返回。默认的过期时间是14天。...SlidingExpiration 滑动过期。标识一个有新的过期时间的新 cookie是否可以被动态的分发。...//ExpiresUtc = DateTimeOffset.UtcNow.AddMinutes(10), //cookie 的绝对过期时间，会覆盖ExpireTimeSpan的设置。...绝对过期时间可以用ExpiresUtc来设置绝对过期时间，但必须同时设置IsPersistent，否者这个这个参数会被忽略，同时，这个 cookie 只是当前回话有效。

3.6K9 0

ASP.NET安全

ASP.NET能够检测到这个cookie，这个cookie中包含了用户的认证信息，那么后面就不需要再重复的认证用户了。...然后将windowsAuthentication enabled设置为true。 ? 然后我们就可以拿到一些用户的信息。 ?...窃取cookie 更改用户设置下载恶意软件更改内容账户劫持简单的说，我们可以通过XSS访问用户的个人信息以及身份信息。 XSS示例 ?...ASP.NET MVC 为我们提供了Html.AntiForgeryToken() 方法，我们只需要在form中添加这句话。...另外我们要做的就是为我们的Action打上ValidateAntiForgeryToken的属性。 ? ? 　　如果请求不包含这个cookie，那服务器就会拒绝这个请求，从而避免CSRF的攻击。

2.7K8 0

ASP.NET MVC 5 - 验证编辑方法(Edit method)和编辑视图(Edit view)

DataType属性用于指定类型的数据，在本例它是一个日期，所以不会显示存放在该字段时间详情。DisplayFormat属性在Chrome浏览器里有一个bug：呈现的日期格式不正确。...@model MvcMovie.Models.Movie 的声明，这将指定视图期望的模型类型为Movie。...第二行显示隐藏XSRF通过@Html.AntiForgeryToken()调用生成的令牌。...脚本\jquery.globalize\cultures\ 文件夹的下面会包含很多不同文化的JavaScript文件注意事项：安装这个包，预计花费5分钟时间（取决于您的网速）....为了强制您的电脑使用美国英语，你可以在项目根目录Web.config文件里面添加的全球化设置。下面的代码演示设置为美国英语的全球化文化设置。

6.7K11 0

ASP.NET WEB——项目中Cookie与Session的用法

ASP.NET WEB——项目中Cookie与Session的用法目录 ASP.NET WEB——项目中Cookie与Session的用法前言环境 Cookie用法 Session用法前言...ASP.NET WEB是一门非常简单的课程内容，我们大概用三章的内容来包含所有的知识点，三章分为 1、ASP.NET WEB项目创建与文件上传操作 2、ASP.NET WEB项目中Cookie与Session...的用法 3、ASP.NET WEB项目中GridView与Repeater数据绑定控件的用法分为三章，基本上将具体的用法讲解完毕，配套的【Repeater】的基础项目视频包含【数据库CRUD操作...= new HttpCookie("userName"); //设置值 cookie.Value = this.userName.Text; //这个设置过期时间的 cookie.Expires...和Session都是比较好用的，但是平时我用的都不是很多，对我个人来说我一个写后端的不太喜欢用，一般存储热数据都是Redis来直接处理。

6341 0

探寻ASP.NET MVC鲜为人知的奥秘（3）：寻找多语言的最佳实践方式

首先创建一个ASP.NET MVC5应用程序，命名为Internationalization： ? ?...，但是我们仅可以从它来判断浏览器中设置的语言，而这个语言类型可能并不是访问者实际需要的语言类型，所以，我们将设计一个可供选择的语言列表，然后在服务器端使用发回Cookie的方式保存浏览器端实际需要的语言...{ cookie = new HttpCookie("_culture"); cookie.Value = culture;...cookie.Expires = DateTime.Now.AddDays(1); } Response.Cookies.Add(cookie);... } @*创建员工表单*@ @using (Html.BeginForm()) { @Html.AntiForgeryToken

8928 0

ASP.NET MVC 随想录——探索ASP.NET Identity 身份验证和基于角色的授权，中级篇

进行注册，当请求经过ASP.NET Pipeline时，由ASP.NET Runtime 触发它，在该事件中，它会验证并解析该Cookie为对应的用户对象，它是一个实现了 IPrincipal接口的对象...属性为True。...ReturnUrl=%2Fhome%2Findex 因为需要登陆，所以可以将Login 设置为允许匿名登陆，只需要在Action的上面添加 [AllowAnonymous] 特性标签，如下所示： [...由于篇幅的限制，Login View 我不将代码贴出来了，事实上它也非常简单，包含如下内容: 用户名文本框密码框存储ReturnUrl的隐藏域 @Html.AntiForgeryToken()，用来防止...接下来，就是让已存在的Cookie 失效，并产生新Cookie。

3.5K6 0

asp.net core 3.1多种身份验证方案，cookie和jwt混合认证授权

开发了一个公司内部系统，使用asp.net core 3.1。在开发用户认证授权使用的是简单的cookie认证方式，然后开发好了要写几个接口给其它系统调用数据。...= "adCookie";//设置存储用户登录信息（用户Token信息）的Cookie名称 option.Cookie.HttpOnly = true;//设置存储用户登录信息（用户Token...信息）的Cookie，无法通过客户端浏览器脚本(如JavaScript等)访问到 option.ExpireTimeSpan = TimeSpan.FromDays(3);// 过期时间...option.SlidingExpiration = true;// 是否在过期时间过半的时候，自动延期 option.LoginPath = "/Account/Login...，总的有效时间等于这个时间加上jwt的过期时间 ClockSkew = TimeSpan.FromSeconds(0) }; }); } JwtBearer认证的配置参数类

4.9K4 0

C#之玩转ASP.NET的内置对象

ASP.NET的内置对象 ASP.NET的内置对象使用Response页面跳转传值使用request对象获取客户端信息 Application对象 Session对象 Cookie对象 Server...:" + Session["LoginTime"]); 结果截图展示： Cookie对象 Cookie对象用于保存客户端请求的服务器页面信息，也可以进行非敏感性的用户信息，信息的保存时间可以根据用户的需求设置...Cookie的四个关键属性 Expires属性：设置Cookie过期时间 Name属性：获取或设置Cookie的名称 Value属性：获取或设置单个Cookie的值 values属性：获取单个Cookie...(cookie); 注意：在第二种方法中通过在HttpCookie类的钩爪方法设置了Cookie的名称，然后使用Expires设置了过期时间，再通过Value属性设置了Cookie的值，最后使用Response.Cookies.Add...Cookie对象与Session对象的使用场景选择实际应用中，在向客户端写入Cookie数据时都会设置Cookie的过期时间，Cookie对象和Session对象具有相同的功能，两者区别在于Cookie

1K2 0

ASP.Net开发基础温故知新学习笔记

申明：本文是学习2014版ASP.Net视频教程的学习笔记，仅供本人复习之用，也没有发布到博客园首页。...一、一般处理程序基础　　（1）表单提交注意点：　　　　①GET通过URL，POST通过报文体；　　　　②需在HTML中为表单元素设置name；　　　　③元素id是给Dom用的，name才是提交给服务器用的...外还有更新后的Cookie；　　　　 ②生命周期：如果没有设定Expires过期时间，那么关闭浏览器则终止Cookie；如果设定了Expires过期时间，则以过期时间为准作为失效时间；　　　　 ③缺点限制...④与Cookie的关系：Session在创建时会依赖于Cookie，实质是Cookie存储一个SessionID作为每次提交服务器请求访问的Key，Session通过这个Key找到具体的Value值；...；　　　　③JQuery Validator+服务端校验是不错的开发方式；　　（2）ValidateRequest： ①ASP.Net默认对请求数据进行了校验->防止XSS攻击（跨站脚本攻击）

2.2K1 0

ASP.NET Core 6框架揭秘实例演示：利用Session保留语境

[S2301]设置和提取会话状态（源代码） [S2302]查看存储的会话状态（源代码） [S2303] 查看Cookie（源代码） [S2301]设置和提取会话状态每个会话都有一个被称为Session...由于TryGetValue方法总是以字节数组的形式返回会话状态值，所以我们采用UTF-8编码转换成字符串形式。如果会话开始时间尚未设置，我们会调用SetString方法采用相同的Key进行设置。...我们还可以看出基于会话状态的缓存默认采用的是基于滑动时间的过期策略，默认采用的滑动过期时间为20分（12 000 000 000纳秒）。...可以看出Session Key的值不仅是被加密的，更具有一个httponly标签以防止Cookie值被跨站读取。在默认情况下，Cookie采用的路径为“/”。...会话是具有有效期的，会话的有效期基本决定了存储的会话状态数据的有效期，默认过期时间为20分钟。在默认情况下，20分钟之内的任意一次请求都会将会话的寿命延长至20分钟后。

7461 0

理解ASP.NET Core - Cookie 的身份认证

Cookie.Expiration：Cookie的过期时间，即在浏览器中的保存时间，用于持久化Cookie。对应Cookie中的Expires属性，是一个明确地时间点。...Cookie.MaxAge：Cookie的过期时间，即在浏览器中的保存时间，用于持久化Cookie。对应Cookie中的Max-Age属性，是一个时间范围。...SlidingExpiration：指示Cookie的过期方式是否为滑动过期。默认true。...若为滑动过期，服务端收到请求后，如果发现Cookie的生存期已经超过了一半，那么服务端会重新颁发一个全新的Cookie，Cookie的过期时间和认证票据的过期时间都会被重置。...AllowRefresh：上面提到过，在Cookie的认证方案配置中，可以将过期方式配置为滑动过期，满足条件时，会重新颁发Cookie。

9671 0

我们真的需要JWT吗？

其中payload的内容有过期时间、签发时间、还有自定义的字段。自定义字段往往用来存放用户信息，比如UserId，UserName等等信息。...以上简单的描述了下JWT的工作原理，因为jwt的payload携带了过期时间、用户信息等，所以JWT有别于传统Session方案的一个最大不同就是JWT是无状态的，JWT不用在内存或DB里维持session...JWT的优点无状态？这个优点真的爽，因为没有了session，不用考虑session服务器的压力所以可以毫无顾忌的水平扩展，个人认为这是JWT最大的一个优点，也是JWT的核心内容。...为了解决这个问题，网上提出一些方案：比如服务端设置一个blacklist或者配合redis来存储token跟过期时间，每次请求到服务端解析JWT之后再次去blacklist或者redis里查询一次看看是否已经注销或者已经过期...所谓session不一定非要是asp.net mvc又或者springmvc自带的session管理叫做session，任何带有中心存储功能能维持状态的东西都是session，比如上面方案里的redis

1.6K1 0

【ASP.NET Core 基础知识】--安全性--防范常见攻击

执行恶意操作：恶意脚本在用户的浏览器上执行，可以窃取用户的 Cookie、会话信息、个人数据，劫持用户的会话，篡改页面内容，甚至重定向到其他恶意网站等，从而危害用户隐私和安全。...CSRF攻击的基本原理如下：用户认证：受害者在目标网站上进行认证，登录成功后获取了有效的会话凭证（比如Cookie）。...options.Cookie.Name = "CSRF-TOKEN"; // 自定义CSRF令牌的Cookie名称 }); // 其他服务配置 // ......"> @Html.AntiForgeryToken() <!...此外，文章还强调了敏感数据泄露的严重性，并提出了相应的保护措施。总的来说，本文全面解析了ASP.NET Core中防范常见攻击的重要性和方法，为开发人员提供了有益的指导和实践经验。

1550 0

Cookie中的几个概念

对于相同目录中的Cookie，多次赋值则后面的值会覆盖前面的值。对于不同目录下的同名Cookie的值则互不影响。在ASP.NET中，Cookie的路径默认是"/"，即根目录： ?...如： home.cnblogs.com/u/Cwj-XFH/，home.cnblogs.com为博客园的二级域名，/u/Cwj-XFH/为访问路径。 4....第三方Cookie 若cookie的域和当前页面的域不同或不兼容（如，一级域名和二级域名可以理解为兼容）的cookie称为第三方cookie，反之则成为第一方cookie。...第三方cookie多用于浏览记录追踪和广告投放，可在浏览器设置中禁用第三方cookie。 5. 其它服务器可以设置cookie的各种属性，如名称，值，过期时间等等。...但具体的存储是在客户端，过期时间也以客户端为准而非服务器。一句话：服务器下命令，客户端干活。

1K4 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云