AntiForgeryToken 登录后无效

2024-02-05

我有一个用户可以在不登录的情况下发布的表格。但是，如果他的电子邮件被识别，则需要密码。密码表单通过 Ajax 进行验证，如果成功，则提交主表单。两种形式都需要有效的 AntiForgeryToken。

问题是，密码检查作为副产品还会使用户登录（客户端的要求）。这会验证令牌，并且无法发送主表单。

我尝试过以编程方式生成新令牌，但无法使其工作。

关于如何解决这个问题有什么想法吗？

最终解决方案

I found this https://stackoverflow.com/questions/1347728/using-an-mvc-htmlhelper-from-a-webform问题有助于形成反思。然而，这就是在正常情况下避免破解内部类型的主要原因，因为这些类型在版本之间的程序集之间进行了很多处理。正如 Betty 建议的那样，使用 ILSpy 来查找内容。

这是最终的代码。

if (signIn)
    FormsAuth.SignIn(user.Email, false);


var mvcAssembly = typeof(AntiForgery).Assembly;
var afdType = mvcAssembly.GetType("System.Web.Helpers.AntiForgeryData");
string fieldName = Convert.ToString(afdType.InvokeMember(
    "GetAntiForgeryTokenName",
    BindingFlags.NonPublic | BindingFlags.Static | BindingFlags.InvokeMethod,
    null,
    null,
    new object[] { null }));

var serializerType = mvcAssembly.GetType("System.Web.Helpers.AntiForgeryDataSerializer");
var serializerCtor = serializerType.GetConstructor(new Type[0]);
object serializer = serializerCtor.Invoke(new object[0]);


string text = HttpContext.Request.Form[fieldName];
object antiForgeryData = serializerType.InvokeMember("Deserialize", BindingFlags.InvokeMethod, null, serializer, new object[] { text });

afdType.GetProperty("Username").SetValue(antiForgeryData, 
    signIn ? user.Email : string.Empty, 
    null);

string newToken = Convert.ToString(serializerType.InvokeMember(
    "Serialize",
    BindingFlags.InvokeMethod,
    null,
    serializer,
    new object[] { antiForgeryData }));

return Content(JsonConvert.SerializeObject(new
                                                {
                                                    success = true,
                                                    newAntiForgeryToken = newToken
                                                }), Constant.JsonContentType);

升级网页2.0

  var mvcAssembly = typeof(AntiForgery).Assembly;
        var afdType = mvcAssembly.GetType("System.Web.Helpers.AntiXsrf.AntiForgeryToken");
        //string fieldName = Convert.ToString(afdType.InvokeMember(
        //    "GetAntiForgeryTokenName",
        //    BindingFlags.NonPublic | BindingFlags.Static | BindingFlags.InvokeMethod,
        //    null,
        //    null,
        //    new object[] { null }));

        string fieldName = "__RequestVerificationToken";

        var serializerType = mvcAssembly.GetType("System.Web.Helpers.AntiXsrf.AntiForgeryTokenSerializer");
        var serializerCtor = serializerType.GetConstructor(new Type[0]);
        object serializer = serializerCtor.Invoke(new object[0]);


        string text = HttpContext.Request.Form[fieldName];
        string newToken = String.Empty;

        if (!String.IsNullOrEmpty(text))
        {
            object antiForgeryToken = serializerType.InvokeMember("Deserialize", BindingFlags.InvokeMethod, null,
                                                                 serializer, new object[] { text });

            afdType.GetProperty("Username").SetValue(antiForgeryToken,
                                                     signIn ? user.Email : string.Empty,
                                                     null);

            newToken = Convert.ToString(serializerType.InvokeMember(
                "Serialize",
                BindingFlags.InvokeMethod,
                null,
                serializer,
                new[] { antiForgeryToken }));
        }

当前用户存储在表单数据的防伪令牌中，并在回发时与当前用户进行比较。

您应该能够在回发时提取表单令牌，就像 Phil Haack 在这个帖子 http://haacked.com/archive/2011/10/10/preventing-csrf-with-ajax.aspx.

然后使用 AntiForgeryDataSerializer 类反序列化令牌，更新当前用户，再次序列化并在检查之前将其放回表单中。或者完全使用您自己的属性替换 validate 方法。

或者，您可以尝试使用密码 ajax 请求发送更新后的令牌并更新表单，而不是在主表单回发上更新它。无论哪种方式，基本方法都是相同的，反序列化，更新用户，序列化，替换令牌。

string antiForgeryTokenName = AntiForgeryData.GetAntiForgeryTokenName(null);
string text = context.Request.Form[antiForgeryTokenName];
AntiForgeryDataSerializer serializer = new AntiForgeryDataSerializer();

AntiForgeryData antiForgeryData = serializer.Deserialize(text); 
antiForgeryData.Username = AntiForgeryData.GetUsername(context.User);
string newToken = serializer.Serialize(antiForgeryData);

AntiForgeryDataSerializer 和 AntiForgeryData 是内部类，因此您必须使用一些基本的反射来调用它们的方法。

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

AntiForgeryToken 登录后无效的相关文章

如何在 Razor 视图引擎中注册程序集

我如何将其插入剃刀视图页面
ASP MVC：何时调用 IController Dispose()？

我正在对我的一个较大的 MVC 应用程序进行大规模重构速度调整它已经部署到生产环境几个月了我开始在连接池中等待连接超时我已将问题追溯到连接未正确处理的情况鉴于此我对我的基本控制器进行了以下更改 public class MyBa
MVC 3 - FormsAuthentication - 无法访问我的登录操作

我正在使用 MVC 3 和 FormsAuthentication
ASP.NET MVC 控制器无法使用流内容正确返回 HttpResponseMessage

正如标题所示我没有让 MVC 控制器正确返回 HttpResponseMessage HttpGet AllowAnonymous public HttpResponseMessage GetDataAsJsonStream object
Ajax.BeginForm 可以重定向到新页面并传递路由值

此链接显示如何重定向 Ajax BeginForm 但不显示如何将路由值传递到新视图可以重定向到新页面的 Ajax BeginForm https stackoverflow com questions 9391201 ajax begi
实体类型 ApplicationUser 不是当前上下文模型的一部分。在项目开始时使用了两个不同的数据库

我使用实体框架创建了一个 MVC 4 应用程序来读取数据并将数据写入我在 Azure 数据库上托管的数据库 Azure 数据库应该保存应用程序数据和应用程序的登录数据但是当我第一次创建应用程序时我忘记删除到本地计算机的连接字符串因此
从mvc url中隐藏一个控制器名称，显示其他控制器名称

我有两个控制器 HomeController 和 ResourcesController 当请求对 HomeController 执行操作时我想从 url 中隐藏 Home 但对于 ResourcesController 或任何其他 co
_Layout.cshtml无法直接请求，因为它调用了“RenderBody”方法

我使用属性来路由这是否相关我不知道当我不使用 Route 属性时共享控制器中的 Layaout 操作不起作用但页面正在呈现 public class SharedController Controller GET Shared A
MVC3 TextBoxFor 带有编码文本

有没有办法将 TextBoxFor 助手与编码文本一起使用例如当使用 MVC3 With Razor 视图引擎的以下帮助程序时 Html TextBoxFor model gt model Description 并且对 model D
C# SMTP 身份验证失败，但凭据正确

这是我的问题我编写了以下程序来测试是否可以发送电子邮件 class Program static void Main string args try Console WriteLine Mail To MailAddress to new
服务层设计。将事物放入服务层的原因

我有一些与设计相关的问题 should service layer interfaces居住在一个domain layer 例如user service 将代码部分移动到单独层的主要原因是什么 should service layer居住在
有没有更好的方法使用 MVC 4 和 Entity Framework 5 添加子记录？

我正在学习 MVC 并结合实体框架处理其无状态性质我的问题是有没有更优雅的方式来处理下面的场景我有两个 POCO 实体 public class Contest public long ID get set public IColle
包括过滤器子集合[重复]

这个问题在这里已经有答案了我在为 LINQ 查询中包含的项目添加一些过滤条件时遇到一些困难我的查询就像 var item Context Order Include Inner Include Inner first Include I
PostAsync 方法的 HttpClient 错误

使用 HttpClient 对第 3 方 API 进行 PostAsync 调用时当我执行 client PostAsync 时我正好看到此错误知道是什么原因造成的吗 Code public class JobController A
阻止未确认电子邮件的用户使用 Identity 2 登录 ASP.Net MVC

在 Microsoft Identity 2 中用户可以确认我从以下位置下载了 Identity 2 示例项目的电子邮件地址here https www nuget org packages Microsoft AspNet Identi
RegisterGlobalFilters 的目的是什么？

在 MVC3 中我以这种方式启用了 CustomErrors
使用实体框架重叠约会

我将 asp net mvc 与实体框架一起使用我有一个包含 startat 字段 endat 字段和 roomid 字段称为 SpaceConfigurationId 的约会列表并且希望查找给定房间已重复预订的约会列表可以假设 e
从 mvc 控制器使用 Web api 控制器操作

我有两个控制器一个mvc控制器和一个api控制器它们都在同一个项目中 HomeController Controller DataController ApiController 如果我想从 HomeController 中使用 Dat
无法将 MVC 4 部署到服务器

我的 Web 应用程序只是一个用 VS 2010 MVC 4 制作的简单 Web 应用程序没有任何外部代码它只是 VS 2010 的默认应用程序我有 Plesk 的豪华 Windows 托管我从未更改过帐户中的任何功能我将所有文件
良好的 WiX 编辑器 [重复]

这个问题在这里已经有答案了我目前正在开发一个使用 WiX 创建 MSI 的项目我过去在 Sourceforge 上使用 WiXEdit 来管理包含在 WiX 项目中的文件因为它比直接操作 XML 稍微容易一些但它仍然有点笨重有谁知

随机推荐

display:none 和 *ngIf = 'false' 之间有什么区别？

The display none是CSS表它将从 DOM 树中删除元素这ngIf false 还从 DOM 树中删除元素他们之间有什么区别 display none https developer mozilla org en US
为什么 GCJ 找不到我导入的包中的类？

我想将一个小型 Java 应用程序编译为 Windows 可执行文件该应用程序非常小只有一个主类但它使用 Apache POI 当我编译它时只要我将 POI Jar 放入类路径参数中一切都会正常但是当涉及到链接时 GCJ 无法解
ModelState.AddModelError - 未显示错误

我想在控制器捕获异常后为电子邮件字段设置错误消息 catch EmailAlreadyExistsException emailAlreadyExistsException ModelState AddModelError Useracco
使用 NSDateFormatter 生成 NSDate 产生 nil NSDate 值

我正在尝试使用以下字符串生成日期 NSDateFormatter dateFormatter NSDateFormatter alloc init dateFormatter setDateFormat MMMM dd yyyy HH mm
Twitter bootstrap 缩略图在除 Chrome + Windows XP 之外的任何地方都无法正确对齐

好的我正在制作一个工作网站原型但在使用缩略图作为 Twitter Bootstrap 的一部分时遇到了一个小障碍我的问题很容易看出并且适用于我测试过的每个浏览器but Chrome 20 0 1132 57 Official Bui
定时器无法连接到pyqt5中的插槽

我无法将计时器连接到 move 插槽timer timeout connect self move 这不起作用但QtCore QTimer singleShot 50 self move 这只是一步仅此而已 class Bullet Q
Symfony2：具有空值的实体表单字段

我有一个表单定义它使用迄今为止很棒的字段类型entity 随着选项query builder我选择我的值并显示它们可悲的是我需要展示一个null默认值例如all 这是一个过滤器形式我不喜欢choices的选项entity因为我有数
以“会计”格式处理负数

我有数据集其负值用括号括起来即 10 10 它是csv格式的我该如何处理它以便R能够解释 10 as 10 谢谢更新我知道我可以通过替换来解决 as 消除并使用as numeric之后但是有没有更优雅的方法来解决这个问题如果
在 Txt 文件中查找字符串，删除整行

我目前正在使用 node js 创建一个 IRC 机器人该机器人允许用户将歌曲链接添加到数据库中每次有人提交一首歌曲时它都会添加到 shuffle txt 的新行中如下所示 user1 The Beatles Yesterday y
expoClientID 去了哪里？

我正在将 Facebook 登录添加到我的博览会应用程序中它在文档 https docs expo dev guides authentication facebook进入我的expoClientId某处问题是我不知道该把它放在哪里我
如何在 PHP 中绑定 SQL 变量？

我想绑定变量而不是仅仅构建 SQL 字符串无论如何要在 Php 中执行此操作吗 MySQL 或 PostgreSQL 的答案都会有帮助 Thanks 有例如PDO http docs php net pdo pdo 和准备好的语句包括绑
从布局 xml 文件旋转 ImageView 源

我的布局中有这个 ImageView
Android 上的 flash.sensors.Accelerometer 在网络浏览器中

加速度计UPDATE事件永远不会触发但是isSupported当 Flash 应用程序在 Android Web 浏览器中运行时返回 true 我怎样才能让它发挥作用 this accelerometer new Acceleromet
php/mysql 将行添加在一起以获得总计

这是场景我正在生成一份关于在特定时间段内需要缴纳会费的所有会员的报告我成功选择每个数据库条目并将其显示为 html 表中的一行问题是报告必须具有的总字段数每个成员根据他们使用的服务支付不同的金额因此我必须单独添加每个字段中的值以确
服务器启动时的调用方法[重复]

这个问题在这里已经有答案了我试图在我的网络应用程序启动时调用一个方法目的是启动一个计时器以定义的时间间隔执行一些工作当我的 jboss 7 1 Web 应用程序启动时如何调用函数 helloworld 如果您想在 Web 应用程序
如何使用 sqlalchemy-migrate 将列类型从字符变化更改为整数

我正在使用 sqlalchemy migrate 来更改 Postgre SQL 数据库中表中的一列的类型我使用的升级脚本是 cofing utf 8 from sqlalchemy import MetaData Table Colum
如何将元标记设置为部分中的第一个标记？

我正在使用 JSF2 GlassFish 3 1 PrimeFaces 2 x 我在 IE9 上遇到奇怪的渲染问题我应该能够通过插入以下内容来强制 IE9 呈现为 IE9 但问题是它不起作用因为我被告知元标记必须是该部分中的第一个
C# 中的堆栈溢出

我有这个寄存器来注册我需要的所有对象 public static class ObjectRegister public static List
在 WCF 服务库项目中使用自定义 ServiceHostFactory

我正在编写一个 WCF 服务该服务在内部严重依赖于控制反转我想在自定义 ServiceHostFactory 内引导初始化我的 IoC 容器我读过一些可用的不同钩子的示例但它们似乎都不适合我 This approach http
AntiForgeryToken 登录后无效

我有一个用户可以在不登录的情况下发布的表格但是如果他的电子邮件被识别则需要密码密码表单通过 Ajax 进行验证如果成功则提交主表单两种形式都需要有效的 AntiForgeryToken 问题是密码检查作为副产品还会使用户登录

AntiForgeryToken 登录后无效

AntiForgeryToken 登录后无效 的相关文章

随机推荐

热门标签

AntiForgeryToken 登录后无效的相关文章