从 Iframe POST 表单时，Asp razor 页面返回 400 代码

Question

我正在尝试从 iframe 发布表单。但是我收到 400 错误，我不知道为什么。在 iframe 中，它显示了 GET 请求，我还在 GET 和 POST 方法标头中设置了"X-Frame-Options", "ALLOW-FROM ...。

这是请求：

Host: localhost:52136
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:64.0) Gecko/20100101 Firefox/64.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: fr,fr-FR;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://localhost:52136/
Content-Type: application/x-www-form-urlencoded
Content-Length: 796
Connection: keep-alive
Upgrade-Insecure-Requests: 1

然后回应：

HTTP/1.1 400 Bad Request
Server: Kestrel
X-SourceFiles: =?UTF-8?B?QzpcVXNlcnNcR2VydmlsIERvdWJhbFxzb3VyY2VccmVwb3NcQWNvbXBhIGNoYXJ0XE9ubGluZUFnZW5jeQ==?=
X-Powered-By: ASP.NET
Date: Tue, 18 Dec 2018 20:41:55 GMT
Content-Length: 0

当我直接从浏览器中的同一个 url 提交同一个表单时，我没有收到任何错误。

如何在 iframe 中修复它？

Answer 1

我在 SharePoint Online 网站的 Iframe 中使用 Asp.net 核心应用程序（Razor 页面）时遇到了同样的错误。

解决方案：

在您的 asp.net 核心应用程序的 Startup.cs 文件中添加以下配置。 （您可能需要添加 Microsoft.AspNetCore.Mvc 的引用）

第 1 步

启用 Content Security Policy 将父 URL 添加到受信任的 CORS 域。

public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
    app.Use(async (context, next) =>    
    {
        context.Response.Headers.Add("Content-Security-Policy", "frame-ancestors https://mysharepointparentsite.sharepoint.com/");
        await next();
    });
}

第 2 步 启用Ignore Anti Forgery Token 验证。

public void ConfigureServices(IServiceCollection services)
{
services.AddMvc().AddRazorPagesOptions(_options =>
    {
        _options.Conventions.ConfigureFilter(new IgnoreAntiforgeryTokenAttribute());
    });
}

Answer 2

另外，你需要检查你是否没有完成如下的 CSRF 预防代码：

options.Filters.Add(new AutoValidateAntiforgeryTokenAttribute());在启动文件（）中。

当我尝试使用 JSONP、CORS 和 CSRF 时，这花了 5 个小时才找到。