在ASP.NET MVC中微軟已經提供了如何防止跨域攻擊的方法。對于傳統Webfrom中使用Handler來接受Ajax的Post請求數據，如何來防止XSRF攻擊呢。這里給大家提供一個簡單地方法，和MVC中類似。

1.首先需要在你的站點中安裝如下的nuget包。可以手動復制dll。

Install-Package Microsoft.AspNet.WebPages -Version 2.0.20710

最新版本的Razor是3.0的，安裝WebPages的時候，它依賴于Razor，所以對于framework4.0的項目來說，無法安裝WebPages最新版本。需要安裝2.0版本。

安裝完成后，增加了如下幾個dll:

2.配置web.config，生成隱藏的token。

需要在system.web節點下增加如下配置：

<machineKey decryption="AES" validation="SHA1" decryptionKey="435D9CC99471D1E7C70FFEBA5EC71F28048BF9016605B82CC69B091FD317B294" validationKey="25C5D98CE093E77C2F886A6D8C6DA8FBC77CD764A1BF49E5D30CD123C5E19553"/>

配置好節點后，需要在.aspx頁面的后臺代碼中增加一個Token生成字段，如果有基類，那么就可以把該部分添加到基類中。

我們增加了屬性Token，然后使用AntiForgery.GetHtml()來生成一個隱藏的token。然后在頁面中綁定該Token。

<form id="form1" runat="server"> <%=Token %> <div> </div> </form>

3.創建一個接收ajax請求的Handler，加入防止偽造頁面提交的代碼。

4.創建一個帶有Token的Ajax請求。

這樣就可以防止你的異步請求被XSRF攻擊了。

PS:對于很多站點，會有子域名之類的，或者是一個Cookie多個站點共用，就容易出現懂點技術的用戶跨站點去偽造請求。

微軟開源了.net的很多代碼，如果你想看上面的實現原理，那么可以去下載 代碼查看。

希望對你有所幫助。