![](/img/trans.png)
[英]Apparently Random Error: "Antiforgery token validation failed. The antiforgery cookie token and request token do not match."
[英]ASP.NET Core WebAPI: Validation of the provided antiforgery token failed. The cookie token and the request token were swapped
在我的ASP.NET Core 2 WebAPI应用程序中,我想对我的POST,PUT和DELETE控制器方法使用AntiforgeryToken。 关于本文档,我设置了Startup
类的ConfigureServices
和Configure
方法。 在客户端,我将Angular 5及其默认配置用于Antiforgery。 我不知道问题出在哪里。
这是我的Startup.cs的摘录
public void ConfigureServices(IServiceCollection services)
{
// ...
services.AddAntiforgery(options =>
{
options.Cookie.Name = "XSRF-TOKEN";
options.HeaderName = "X-XSRF-TOKEN";
options.FormFieldName = "F-XSFR-TOKEN";
});
// ...
}
public void Configure(IApplicationBuilder app, IHostingEnvironment env, ILoggerFactory loggerFactory, IServiceProvider provider, ILogger<Startup> logger, IAntiforgery antiforgery)
{
// ...
app.Use(async (context, next) =>
{
var tokens = antiforgery.GetAndStoreTokens(context);
context.Response.Cookies.Append("XSRF-TOKEN", tokens.RequestToken, new CookieOptions() { HttpOnly = false });
await next();
});
// ...
}
我的控制器都是这样的:
[Authorize]
[Route("api")]
public class CarController : Controller
{
#region Variables
private readonly DataContext _db;
private ILogger<CarController> _logger;
#endregion
#region Constructor
public CarController(DataContext db, ILogger<CarController> logger)
{
_db = db;
_logger = logger;
}
#endregion
#region Methods
[AllowAnonymous]
[HttpGet("[controller]")]
public IActionResult Get()
{
try
{
return Ok(_db.Cars);
}
catch (Exception ex)
{
_logger.LogError(ex.GetHashCode(), ex, ex.Message);
return BadRequest(ex);
}
}
[HttpPost("[controller]")]
[ValidateAntiForgeryToken]
public async Task<IActionResult> Post([FromBody] CreateCar model)
{
try
{
// Creates a new car.
}
catch (Exception ex)
{
_logger.LogError(ex.HResult, ex, ex.Message);
return StatusCode(500, ex);
}
}
[HttpPut("[controller]/{id}")]
[ValidateAntiForgeryToken]
public async Task<IActionResult> Put(int id, [FromBody] UpdateCar model)
{
try
{
// Updates a car
}
catch (Exception ex)
{
_logger.LogError(ex.HResult, ex, ex.Message);
return StatusCode(500, ex);
}
}
#endregion
}
我遇到了同样的问题,我想我找到了问题。
TLDR: options.Cookie.Name = "ASP-XSRF-TOKEN";
AddAntiforgery
的options.Cookie.Name
必须不同于您使用context.Response.Cookies.Append
手动设置的cookie。
尝试更改其中之一的名称,它将起作用。 现在,您将使用options.Cookie.Name
名称和tokens.RequestToken
值覆盖生成的cookie。
您可以在开发人员工具中注意到差异。
options.Cookie.Name
生成的默认令牌被标记为http only
( HttpOnly = true
) context.Response.Cookies.Append
手动附加的令牌被标记为HttpOnly = false
第二个是从JS / Angular读取的(您可以在JS中读取它,因为HttpOnly=false
并作为ajax请求中的标头发送,并针对无法从JS读取的默认值进行验证)
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.