Minimal API: IFormFile パラメーターには偽造防止検査が必要
IFormFile または IFormFileCollection を使う Minimal API エンドポイントで、新しい偽造防止ミドルウェアを使って偽造防止トークンの検証を要求できるようになりました。
導入されたバージョン
ASP.NET Core 8.0 RC 1
以前の動作
IFormFile または IFormFileCollection を介してフォームからパラメーターをバインドした Minimal API エンドポイントには、偽造防止の検証は必要ありませんでした。
新しい動作
IFormFile または IFormFileCollection を介してフォームからパラメーターをバインドする Minimal API エンドポイントには、偽造防止の検証が必要です。 これらの入力の種類を定義する API に対して偽造防止ミドルウェアが登録されていない場合は、起動時に例外がスローされます。
破壊的変更の種類
この変更は、動作変更です。
変更理由
偽造防止トークンの検証は、フォームのデータを使う API に推奨されるセキュリティ予防措置です。
推奨される操作
DisableAntiforgery<TBuilder>(TBuilder) メソッドを使うことで、特定のエンドポイントに対する偽造防止の検証をオプトアウトできます。
var app = WebApplication.Create();
app.MapPost("/", (IFormFile formFile) => ...)
.DisableAntiforgery();
app.Run();
影響を受ける API
該当なし
GitHub で Microsoft と共同作業する
このコンテンツのソースは GitHub にあります。そこで、issue や pull request を作成および確認することもできます。 詳細については、共同作成者ガイドを参照してください。
.NET