ASP.NET Core 在 json 发布请求正文中传递 antiforgerytoken

【问题标题】:ASP.NET Core pass antiforgerytoken in json post request bodyASP.NET Core 在 json 发布请求正文中传递 antiforgerytoken
【发布时间】:2017-11-21 22:39:24
【问题描述】:

嗯,我有一个通过表单 tagHelper 呈现的表单。所以它包含了防伪令牌的特殊隐藏。

我正在尝试发送以下 ajax 请求:

var data = JSON.stringify(feedbackForm.serializeArray().reduce((res, item) => {
       res[item.name] = item.value;
       return res; }, {}));
 // data example: '{"Description":"some description", "__RequestVerificationToken":"CfDJ8F9f8kTKlVNEsnTxejQIJ__pRCl2CuZTQDVAY2216J7GgHWGDC0XUMPc0FKHpr_K5uhz8Kx0VeHDkIPdQ3V0Xur9oLE2u_bpfXuVss6AWX3BVh0WbwfQriaibOrf_yvEuIYZV-jHU_G-AHPD91cKz_QE7MVmeLVgTum80yTb8biGctMtJcU67Wp7ZgN86yMuew"}'` 
  $.ajax({
         type: "POST",
         url: '@Url.Action("Feedback", "Profile", new {Area = ""})',
         contentType: "application/json; charset=utf-8",
         data: data,
         dataType: "json"
  });

到看起来像这样的控制器操作:

 [HttpPost]
 [AllowAnonymous]
 [ValidateAntiForgeryToken]
 public async Task<IActionResult> Feedback([FromBody]FeedbackViewModel vm)
 {
    ...
 }

所以发布的数据包含防伪令牌的密钥,但是请求仍然没有通过防伪验证并失败并出现错误。如果我从控制器中删除防伪验证属性,它就会完美地工作。

为什么它不检查请求正文中的令牌 - 这是设计使然,还是某种问题?

【问题讨论】:

  • Enable Antiforgery Token with ASP.NET Core and JQuery的可能重复
  • 好吧,我不想将实现更改为标头,我想找出为什么它不适用于请求正文。
  • 我最近一直在做类似的工作,IIRC,你需要标题和数据元素匹配。
  • @silent_coder 我相信你在找this
  • 我没有时间完全验证它,但是我认为当您将数据作为 json(“application/json”)发送到 CSRF 中间件时,它无法验证令牌无法反序列化 json 并从那里获取令牌。但是,如果您的 ajax 帖子将数据作为 url 编码形式(“application/x-www-form-urlencoded”)发送,这与常规帖子基本相同。这就是为什么在 json 情况下您需要将令牌添加为标头

标签: c# jquery ajax asp.net-core asp.net-core-mvc


【解决方案1】:

你能尝试像下面这样实现吗?

data["__RequestVerificationToken"] = $('[name=__RequestVerificationToken]').val();
var data = JSON.stringify(feedbackForm.serializeArray().reduce((res, item) => {
   res[item.name] = item.value;
   return res; }, {}));

$.ajax({
    url: '@Url.Action("Feedback", "Profile", new {Area = ""})',
    contentType: "application/json"
    type: 'POST',
    context: document.body,
    data: data,
    success: function() { refresh(); }
});

【讨论】:

  • 在我的情况下,它需要以 json 格式发送,因为我正在发布 BLOB,并且它大于允许的 urlencoded 数据请求
  • @silent_coder 我已经用 json 内容类型更新了我的答案。
【解决方案2】:

您可以像下面这样传递“标题”。

var data = JSON.stringify(feedbackForm.serializeArray().reduce((res, item) => {res[item.name] = item.value;return res; }, {}));
$.ajax({
     url: '@Url.Action("Feedback", "Profile", new {Area = ""})',
     type: "POST",
     dataType: "json",
     headers: {"__RequestVerificationToken":$('[name=__RequestVerificationToken]').val()},         
     contentType: "application/json; charset=utf-8",
     data: data});

参考:https://api.jquery.com/jQuery.ajax/

【讨论】:

  • 欢迎来到 StackOverflow!请编辑您的答案以包括对您的代码的解释,以及它与其他解决方案的不同之处。这将使您的答案更有可能被认为有用并被赞成:)
猜你喜欢
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 2017-02-12
  • 1970-01-01
  • 2011-07-02
  • 2011-05-08
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode