程序员经验分享-hwhale

MVC3 AntiForgeryToken 在 Ajax 登录时中断

2024-03-19

ASP.NET MVC 的防伪令牌机制是基于当前HttpContext.User。当您调用时,它使用该值来构造令牌Html.AntiForgeryToken()。基本上是可以的(见解释最后一段在这里 https://stackoverflow.com/questions/7233939/mvc3-antiforgerytoken-issue/7238884#7238884)但是当您通过以下方式登录时会出现问题阿贾克斯调用.

在我的代码中,当用户登录时,凭据将作为 Ajax 中的 Json 对象发送(AntiForgeryToken隐藏字段值也在 Json 内部发送),服务器对用户进行身份验证,应用 FormsAuthentication.SetAuthCookie(),并返回包含一些特定于用户的数据的 Json 结果。这样,我可以避免登录时刷新整个页面。

问题是,对服务器的每个后续 Ajax 请求现在都会失败ValidateAntiForgeryTokenAttribute,因为它现在需要一个与防伪 cookie 不兼容的防伪令牌。

如何获取有效的防伪令牌并将其放入客户端的隐藏字段中,以便登录后的每个 Json 请求都会成功?

我尝试手动获取新的隐藏字段令牌(使用AntiForgery.GetHtml()在操作上,提取令牌字符串本身,将其以 Json 返回给客户端,并在 JavaScript 中手动将其放入防伪隐藏字段中),但它不起作用 - 随后的 Ajax 调用失败ValidateAntiForgeryTokenAttribute在服务器上。 事实上,每次调用AntiForgery.GetHtml()(这本质上就是Html.AntiForgeryToken()helper 确实)生成一个不同的令牌,这会使前一个令牌无效。

我也尝试设置HttpContext.User = new GenericPrincipal(new GenericIdentity(email), null);详细说明here https://stackoverflow.com/questions/7233939/mvc3-antiforgerytoken-issue/7238884#7238884,但它不起作用。

Note: 这个解决方案 https://stackoverflow.com/questions/4074199/jquery-ajax-calls-and-the-html-antiforgerytoken/4074289#4074289由于我的具体情况,对我不起作用:An Ajaxlogin这会更改服务器上的用户身份,因此登录之前生成的每个令牌都无效;这个解决方案 https://stackoverflow.com/questions/1347728/using-an-mvc-htmlhelper-from-a-webform/2553583#2553583也不适用,因为它解决了不同的问题。


您需要清除并重做登录时拥有的任何现有表单令牌。这意味着您的登录代码必须刷新当前页面(有点杀死它的 ajax 部分)、您自己的令牌实现,或者您需要刷新您的令牌。可以请求部分视图、提取令牌并更新您的表单。实际上,您可以有一个restful url,它只向经过身份验证的用户返回一个令牌。有人可能会说这是一个安全问题,但我不这么认为,因为这只是一种获取令牌的更简单的方法,而不是请求任何视图(部分视图或其他视图)。

您应该能够通过以下方式轻松获取要替换的令牌实例:



var token = $('input[name=""__RequestVerificationToken""]');

编辑 又重读了几次之后——我提出疑问

如果用户未登录,为什么表单上会有令牌。您允许在未登录和已登录的情况下“操作”同一个表单?即使在这种情况下,网络上的大多数站点也会重定向以进行登录。我的理解正确吗?如果是这样,您可能需要考虑在此处跳过令牌或对未经身份验证的用户使用第二种类型的令牌。我相信您是在说未经身份验证的用户已经可以在应用程序中提交某些内容 - 如果我理解正确的话 - 无需经过身份验证。

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

ASPNETMVC

AJAX

aspnetmvc3

security

antiforgerytoken

MVC3 AntiForgeryToken 在 Ajax 登录时中断 的相关文章

  • Rails 渲染 JSON - 会话丢失?

    我正在尝试对控制器进行一些 Ajax 调用 该控制器以 JSON 进行响应 if session user render json gt Some Data else render json gt You are not logged in

  • 正确使用 EncryptedSharedPreferences

    Android 最近发布了 EncryptedSharedPreferences 它自动加密 SharedPreferences 键 值数据 虽然这很好 但我发现我可以简单地连接 API 调用并检索解密的值 除了在调用 EncryptedS

  • ASP.net MVC 项目无法在 IIS 上编译

    我以前只是将 ASP NET 网站上传到实时服务器 IIS 会自动编译它们 但是 当我对 asp net MVC 项目执行相同操作时 我只是收到错误 并且我需要在上传项目之前发布 构建 项目 注意1 我使用的是VWD 2008 Expres

  • 使用鼠标检测的反验证码

    我想知道是否可以为仅使用 javascript 的表单创建一个安全的人体检测机制 不使用验证码 来检测鼠标移动 因为 jquery 或操作系统代码都可以移动鼠标 我是这么告诉的 这是我的计划 使用 jQuery 我可以检测鼠标是否已移动 然

  • 为什么自定义类型变量不保存值MVC

    我正在尝试使用 MVC 5 构建一个网站 我有一个包含 3 个变量的控制器类 public class WorkerController Controller public ViewModel viewModel new ViewModel

  • 未捕获的类型错误:无法读取未定义的属性“toLowerCase”

    我收到此错误 它源自 jquery 框架 当我尝试加载准备好的文档上的选择列表时 出现此错误 我似乎无法找到为什么会出现此错误 它适用于更改事件 但在尝试手动执行该函数时出现错误 未捕获的类型错误 无法读取未定义的属性 toLowerCas

  • 如何使用自定义 ValidationAttribute 来确保两个属性匹配?

    我们使用 xVal 和标准DataAnnotationsValidationRunner描述here http blog stevensanderson com 2009 01 10 xval a validation framework

  • 如何在 jquery 中使 ajax 数据键动态化?

    我试图使内联编辑成为动态的 因此它只依赖于我的标记中的一些数据属性 所以现在的代码如下 inline edit editable function value settings var editableField this ajax typ

  • 限制 SQL Server 连接到特定 IP 地址

    我想将 SQL Server 实例的连接限制为特定 IP 地址 我想阻止来自除特定列表之外的任何 IP 地址的任何连接 这是可以在 SQL Server 实例或数据库中配置的东西吗 听起来像是你会使用Windows防火墙 http tech

  • 包括过滤器子集合[重复]

    这个问题在这里已经有答案了 我在为 LINQ 查询中包含的项目添加一些过滤条件时遇到一些困难 我的查询就像 var item Context Order Include Inner Include Inner first Include I

  • 生产环境的 Flask-Login 与 Flask-Security

    我正在构建一个功能 供用户注册 登录 验证和授权自己 特别是使用 Python Flask 作为后端 我找到了一些解决方案 例如flask login and flask security 据我了解 flask login实际上并没有进行任

  • Spring-roo REST JSON 控制器损坏日期字段

    我有一个以两种方式使用的数据实体 我在页面加载时用其中的一些数据填充表格 当您单击该列的一行时 我通过 AJAX 获取该项目的详细信息并将其显示在表单字段中 我在服务器端使用 Spring Roo 生成的 REST 端点 在客户端使用 Ba

  • 更改javascript nodejs中所有页面的href url

    我已经实现了具有多种语言下拉菜单的引导导航栏 当我选择语言时 它将翻译页面 如何更改其他页面的 url 和按钮文本 当我选择french 将所有网址更改为 fr about and fr contact 如何使用 JavaScript 进行

  • ASP.NET MVC 和 Expression XAML - 如何集成?

    一些背景 ASP net MVC 主要是构建和开发 ASP NET 应用程序方式的范式转变 从 代码隐藏 类型的心态转变为更像标准 MVC Ruby on Rails 的心态 我赞扬它作为一种简化工具来简化单元测试和代码分离 尽管 html

  • 第三个下拉菜单不从数据库填充

    我有以下 Index php

  • Python PAM 模块的安全问题?

    我有兴趣编写一个 PAM 模块 该模块将利用流行的 Unix 登录身份验证机制 我过去的大部分编程经验都是使用 Python 进行的 并且我正在交互的系统已经有一个 Python API 我用谷歌搜索发现pam python http pa

  • 临时目录中自动生成的“App_Web********.cs”文件导致构建错误

    因此 这已经困扰我一段时间了 但有时在我的 Visual Studio 2013 ASP NET MVC4 项目中 我会删除未使用的 ViewModel 类 并在下一次编译时收到如下错误 对于名为 我刚刚删除的 MostRecentMemb

  • 如何强制 Visual Studio 2008 生成 Designer.cs,例如不管怎样.aspx.designer.cs

    我在使用 Visual Studio 2005 使用网站技术生成的 Asp Net V2 0 中有一些 Web 表单 想要将它们导入到设置为 v3 5 Asp Net MVC 的 Visual Studio 2008 我在其中使用项目技术

  • mvc显示模板中当前项目的索引

    我有一个带有显示模板的 mvc 页面 如何获取显示模板中呈现的当前项目的索引 它在名称属性中产生正确的可绑定结果

  • 评估 CRC-32 实现中的差异

    我见过相同基本 CRC 32 算法的许多不同实现 如下所示 int remain int sbox SIZESBOX int dividend int bit for dividend 0 dividend lt SIZESBOX divi

随机推荐

  • C++ lambda回调触发事件

    我一直在尝试了解 C 中的回调功能 我想要实现的目标如下 我有两个对象 每个对象都有自己的线程 一个物体A有一个指向第二个对象的指针B 参见示例 class A public private std unique ptr b b class

  • XmlReaderSettings CheckCharacters=false 似乎不起作用

    我正在尝试反序列化来自 Rest 服务的 xml 响应 我正在实现 IXmlSerialized 因为 xml 相当具体 并且我进行自定义序列化 响应包含非法 xml 字符 但由于我无法修改 xml 所以我必须处理它们 解决方案似乎很简单

  • 将一组布尔值转换为数字

    这是我将用来获取一组三个布尔值并将其转换为 switch 语句的 int 的代码 int bits 0 bool a true b false c true 101 5 bits bits a lt lt 2 bits bits b lt

  • python 在测试文件中的模块导入期间模拟函数调用

    我正在尝试模拟导入模块时执行的函数调用 下面是我遇到的问题的示例 app module py from util import get param PARAM get param param name class sample def ru

  • ImportError:导入 sampy.TurtleWorld 时没有名为 Tkinter 的模块

    我正在使用 Python 3 4 并按照本书进行操作 思考 Python 如何像计算机科学家一样思考 http www greenteapress com thinkpython thinkCSpy pdf 我实际上在一周前就发现了这个问题

  • 以编程方式设置网格排序

    是否可以在读取数据之前以编程方式设置 KendoUI 数据源的排序参数并避免第二个服务器读取 范围是对特定用户交互设置默认排序 如何 这是我想要做的一个例子 因为答案没有切中要害 或者也许我不明白事情是如何运作的 我定义了一个具有初始排序的

  • 根据单元格中的第一个字符隐藏 Google 电子表格中的行

    我正在努力向 Google 电子表格添加功能 电子表格从网络导入数据 并且我将其全部格式化 我的一个专栏是一系列字符串 以两种方式之一进行格式化 String 或 String 不带空格 基本上是从网络导入斜体 我正在尝试编写一个在打开电子

  • C# - 如何将单个 Excel 工作表从一个工作簿复制到另一个工作簿?

    我需要将工作表从一个工作簿复制到另一个工作簿中 但我有点卡住了 前提是我有一个 主 工作簿 其中存储了许多报告的模板 然后我需要创建特定工作表的空白副本并将其添加到新工作簿中 这是我到目前为止所拥有的 private void Create

  • 无法在 Swift 中使用缓存生成视频缩略图

    一直在努力让它发挥作用 我正在生成视频缩略图 但它在集合视图中加载非常重 我想缓存它们 但找不到解决方案 这是我正在使用的代码 func previewImageFromVideo url NSURL gt UIImage let asse

  • 将现有项目转换为可定制的框架

    我是一名 Android 开发人员 我需要创建 IOS 应用程序 所以我这样做了 应用程序现在已经准备好了 但现在我想把它变成一个库 框架 我的意思是每个客户的不同项目将使用相同的代码库 他们将能够更改应用程序的文本字符串和颜色 其余的业务

  • 使用 FakeItEasy 模拟方法内的方法

    如何模拟 伪造在另一个函数中调用的函数的结果 通常 Test2 是一个我不喜欢获取真实数据的 DataAccess 方法 我喜欢我的单元测试测试的是业务逻辑 这就是我现在所拥有的 但它根本不起作用 Sum 始终被断言为 5 public i

  • 在具有序列化问题的 Dataframe 上调用 UDF

    我在 UDF 博客上查看了一些似乎有效的示例 但实际上当我运行它们时 它们给出了臭名昭著的任务不可序列化错误 我觉得奇怪的是 这篇文章已经发表了 却没有提到这一点 运行 Spark 2 4 代码 非常简单 Spark 中一定有什么变化 de

  • 查询 MediaStore:连接缩略图和图像(在 ID 上)

    我正在为 Android 开发一个 照片库 类型的应用程序 它最初是作为 Udacity 开发 Android 应用程序的最终项目 因此它的整体结构 活动 内容提供者等 应该非常健全 并且已被 Udacity Google 接受认证 然而

  • Android中如何混淆字符串?

    我想混淆我的 api url 我可以使用 Proguard 吗 如果是 我该怎么做 以及如何在 Proguard 配置文件中添加类来混淆类中存在的方法和变量 您现在可以使用新的 gradle 插件 库来有效地混淆类中的字符串 请在此处查看

  • 如何使用 Spark 处理一系列 hbase 行?

    我正在尝试使用 HBase 作为 Spark 的数据源 因此 第一步是从 HBase 表创建 RDD 由于 Spark 使用 hadoop 输入格式 我可以找到一种通过创建 rdd 来使用所有行的方法http www vidyasource

  • 将 HTML 转换为图像

    Duplicate 创建网页缩略图的最佳方法是什么 https stackoverflow com questions 65078 what is the best way to create a web page thumbnail 我想

  • 如何检查所选文本是否为粗体(contenteditable)

    我正在使用内置的 html 实现自定义文本编辑器contenteditable特征 我需要知道用户何时在文本编辑器上选择文本 无论它是否为粗体 这是我现在所拥有的 HTML

  • 私有区块链与 Hashgraph、Ripple、BigChainDb

    我一直在研究不同区块链的一些用例 最后我得出的结论是 建立一个私有区块链相当于拥有一个分布式数据库 在其之上添加了区块链概念 如不可篡改 数字签名等 例如 Bigchaindb 好吧 如果我们确实需要智能合约功能 那么分布式数据库可能无法工

  • Android:无论如何想知道是否选中了“未知来源”吗?

    有什么方法可以查明用户是否选中了 应用程序设置 菜单中的 未知来源 复选框 您可以使用INSTALL NON MARKET APPS http developer android com reference android provider

  • MVC3 AntiForgeryToken 在 Ajax 登录时中断

    ASP NET MVC 的防伪令牌机制是基于当前HttpContext User 当您调用时 它使用该值来构造令牌Html AntiForgeryToken 基本上是可以的 见解释最后一段在这里 https stackoverflow co

热门标签