无法验证防伪令牌

Question

我试图从我的 js 文件中将防伪令牌传递给 MVC controller 中的 HTTPPost 方法。 我收到以下错误：

“防伪令牌验证失败：所需的防伪 cookie“__RequestVerificationToken”不存在。”

当我尝试调试 js 代码并查看时，我在“antiForgeryToken”变量中看到了令牌。 但不确定发生了什么。 有人可以告诉我我在做什么错吗？ 这是我来自 js 文件的代码：

options.data = function (find) {
                                var antiForgeryToken = $("#forgeryToken").val();
                                fetch('/Options/Students/StudentScore',
                                    {
                                        method: 'POST',
                                        body: JSON.stringify({
                                            find: find,
                                            querystringParams: querystringParams
                                        }),
                                        headers: {
                                            "Content-type": "application/json; charset=UTF-8",
                                            "RequestVerificationToken": antiForgeryToken
                                        } 
                                    })
                                    .then(function (response) { return response.json() })
                                    .then(function (response) {
                                        var mapped = _.map(response.Results,
                                            function(i) {
                                                return {
                                                    DisplayValue: i.text
                                                }
                                            });
                                        return mapped;
                                    })
                                    .catch(function(err) {
                                        debugger;  
                                    });
                            }

这是我的操作方法

        [System.Web.Mvc.HttpPost]
        [ValidateAntiForgeryTokenAttribute]
        public async Task<ActionResult> StudentScore([FromBody] StudentValues request)
        {
            //Implementation
            return JsonNet(sometestval, JsonRequestBehavior.AllowGet);
        }

这是我的防伪 class

[AttributeUsage(AttributeTargets.Method)]
    public class ValidateAntiForgeryTokenAttribute : FilterAttribute, IAuthorizationFilter
    {
        public void OnAuthorization(AuthorizationContext filterContext)
        {
            try
            {
                if (filterContext.HttpContext.Request.IsAjaxRequest())
                {
                    ValidateRequestHeader(filterContext.HttpContext.Request);
                }
                else
                {
                    AntiForgery.Validate();
                }
                    
            }
            catch(Exception e)
            {
                throws exception;
            }
        }

        private static void ValidateRequestHeader(HttpRequestBase request)
        {
            var cookieToken = string.Empty;
            var formToken = string.Empty;
            var tokenValue = request.Headers["RequestVerificationToken"];
            if (!string.IsNullOrEmpty(tokenValue))
            {
                var tokens = tokenValue.Split(':');
                if (tokens.Length == 2)
                {
                    cookieToken = tokens[0].Trim();
                    formToken = tokens[1].Trim();
                }
            }

            AntiForgery.Validate(cookieToken, formToken);
        }
    }

Answer 1

尝试编辑这个：

var antiForgeryToken = $("#forgeryToken").val();

对此：

var antiForgeryToken = $('input[name="__RequestVerificationToken"]').val();

通常，AntiForgery 令牌被命名为__RequestVerificationToken而不是带有forgeryToken的 ID，除非您明确重命名它。