Logotipo IT Forum
IT Forum Itaqui Distrito Itaqui IT Invest
IT Forum - A Comunidade de Tecnologia se Encontra Aqui
ITF Portal - Banner Topo
Slot: /23408374/itf-ad-banner-topo
720x300, 728x90, 728x210, 970x250, 970x90, 1190x250

Tech Review: use ASP.NET MVC no combate à falsificação

Solução permite se defender de intrusos ao publicar funcionalidades de servidor por meio de método público

Publicado: 12/05/2026 às 06:00
Leitura
3 minutos
Tech Review: use ASP.NET MVC no combate à falsificação
Construção civil — Foto: Reprodução

Os browsers modernos se defendem de ataques cross-site scripting. Mas existe um outro tipo de ataque que é ainda mais fácil de lançar: cross-site request forgery (ou CSRF).

Os meliantes que usam CSRF criam um website com elementos clicáveis que colocam as operações maliciosas em funcionamento. A página falsa geralmente contém um script escondido que coleta os dados de um computador local e os envia para o servidor do cibercriminoso. Como você pode se proteger?

O ASP.NET MVC oferece uma solução: ele permite que você publique funcionalidades de servidor por meio de um método público de uma classe controladora. Se o método for crítico, você pode adicionar atributos para prevenir ataques CSRF. O ASP.NET MVC traz um método de ajuda para gerar marcação ad hoc HTML e um atributo ValidateAntiForgeryToken:

[HttpPost]

[ValidateAntiForgeryToken]

public ActionResult Update

(Customer customer)

{

:

}

O atributo HttpPost requer uma solicitação de POST para executar o método. Só isso já corta qualquer solicitação feita por meio de um GET simples. O ValidadeAntiForgeryToken também introduz o executor de comando do método ASP.NET MVC para procurar por algum conteúdo especial na solicitação principal antes de executar o código. 

O ValidateAntiForgeryToken contém um código que é ativado durante a ação do método requisitado, garantindo que a solicitação postada contenha um cookie e campo de formulário com um nome fixo comum. Se alguns desses itens estiver faltando, é aberta uma exceção. Esse ajudante de ASP.NET MVC em HTML permite que você insira essa linha em um website:

O método Html.AntiForgeryToken cria um cookie em seu computador e adiciona um campo oculto ao formulário, como esse:

 

value=”j3Cj++/JUcS+kUMy/9Obj/

oM6ZW7vZozNo7+S” />

Se o alvo do formulário incluir o atributo ValidateAntiForgeryToken, o conteúdo do cookie e o campo de inserção são compensados antes da ação do método ser autorizada. Portanto, os invasores não poderão criar cookies válidos porque eles não saberão qual conteúdo colocar neles. E mesmo que o computador da vítima já contenha um cookie anti-forgery, o conteúdo do cookie não poderá ser lido via script para conseguir um campo de inserção on-the-fly. Um anti-forgery cookie é, na verdade, HttpOnly e não pode ser acessado via script. 

*Dino Esposito é MVP da Microsoft e consultor independente de software.

As melhores notícias de tecnologia B2B em primeira mão
Acompanhe todas as novidades diretamente na sua caixa de entrada
Imagem do ícone
Notícias
Imagem do ícone
Revistas
Imagem do ícone
Materiais
Imagem do ícone
Eventos
Imagem do ícone
Marketing
Imagem do ícone
Sustentabilidade
Instagram Linkedin Facebook Tiktok Youtube
Autor
Notícias relacionadas
Mirando expansão internacional e foco em IA, Magalu Cloud adquire Movestax Inteligência Artificial
Mirando expansão internacional e foco em IA, Magalu Cloud adquire Movestax

Isabella Winckler

5 meses atrás
ServiceNow negocia compra da Armis por até US$ 7 bilhões, diz Bloomberg Cibersegurança
ServiceNow negocia compra da Armis por até US$ 7 bilhões, diz Bloomberg

Isabella Winckler

5 meses atrás
Demissões em massa: os 10 maiores cortes de vagas no setor de tecnologia em 2025 Gestão
Demissões em massa: os 10 maiores cortes de vagas no setor de tecnologia em 2025

Isabella Winckler

5 meses atrás
AGI pode custar trilhões e desafiar até gigantes da IA, alerta CEO da IBM Inteligência Artificial
AGI pode custar trilhões e desafiar até gigantes da IA, alerta CEO da IBM

Isabella Winckler

5 meses atrás