[英]ASP.NET MVC - ValidateAntiForgeryToken expiring
在网页中,我们提供了用户可以点击进行身份验证的超链接(GET):
@Html.ActionLink("Please Login", "MyMethod", "MyController")
这将映射到以下返回视图的控制器方法:
[RequireHttps]
public ActionResult MyMethod()
{
return this.View(new MyModel());
}
此视图包含用户提供凭据的表单; 表单包含所需的AntiForgeryToken。
当用户提交表单时,将调用以下Controller方法:
[HttpPost]
[RequireHttps]
[ValidateAntiForgeryToken]
public ActionResult MyMethod(MyModel model)
{
// my logic
}
这很好用,大部分时间......
但是,如果用户将浏览器打开一段“重要”时间,然后快速连续执行以下步骤:
他们得到一个例外,通知他们防伪令牌未提供或无效。
我不明白为什么会这样:View(包含表单)是在浏览器处于休眠状态之后创建的,因此防伪标记应该都是“新鲜的”。 但是,这个设计显然有问题,但我不确定如何最好地纠正它。
如果您有任何建议,请提前致谢。
格里夫
我正在处理同样的问题,虽然我理解这个问题,但我还不确定最佳解决方案。
Anti-ForgeryToken进程在表单中放置一个输入值,其中第二个值存储在cookie RequestVerificationToken中。 这两个都提交给服务器,如果它们不匹配,则抛出错误。
RequestVerficationToken cookie的到期值设置为Session。 因此,当用户长时间在页面上打开浏览器然后提交时,将cookie的时间戳与服务器上的会话超时值进行比较 - 默认值为20分钟左右 - 并且已超出,将被删除因此令牌验证失败。
可能的解决方案,所有这些都有潜在的问题;
在ASP.NET MVC中将ValidateAntiForgeryToken与JQGrid一起使用?
[英]Use ValidateAntiForgeryToken with JQGrid in asp.net MVC?
ValidateAntiforgeryToken 不适用于 ASP.NET MVC 中的 Ajax
[英]ValidateAntiforgeryToken not working with Ajax in ASP.NET MVC
使用ValidateAntiForgeryToken ASP.NET MVC 3时无法验证数据错误
[英]Unable to Validate Data error when using ValidateAntiForgeryToken ASP.NET MVC 3
ASP.NET MVC ValidateAntiForgeryToken - 它可以用授权检查和引用检查替换吗?
[英]ASP.NET MVC ValidateAntiForgeryToken — can it be replaced with authorization check & referrer check?
在ASP.NET MVC项目生产环境中实施ValidateAntiForgeryToken时出现奇怪的错误消息
[英]Weird error message while implementing ValidateAntiForgeryToken in asp.net mvc project production environment
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.