[英]Ajax anti-forgery POST with CORS preflight OPTIONS request (302 redirect)
我最近更新了一個我正在努力檢查所有POST請求上的防偽令牌的網站。 對於ajax請求,我已經安裝了一個prefilter來檢查防偽標記並將其添加到標頭中
$.ajaxPrefilter(function (options, localOptions, jqXHR) {
if (options.type == "POST") {
var token = GetAntiForgeryToken();
jqXHR.setRequestHeader(token.name, token.value);
}
});
當以管理員身份登錄時,該站點還具有管理工具,該管理員使用CORS將數據發送到單獨的管理站點。 其中一個工具是AJAX發布請求。 標頭添加到請求中,它可以正常工作。
另一個工具是GET請求,它返回一個表單,該表單顯示在對話框中。 這很好用。 但是,當提交表單時,預檢OPTIONS請求遇到302,我收到錯誤“預檢的響應無效(重定向)”
如果我刪除ajaxPrefilter,表單發布工作,但直接發布請求不起作用。 啟用Prefilter后,直接發布請求有效,但表單發布沒有。 我很丟失。 Access-Control-Allow-Headers中允許使用防偽標頭。 對兩者的要求是:
OPTIONS http://localhost:64789/Example/Example/?_=1464356730712 HTTP/1.1
Host: localhost:64789
Connection: keep-alive
Access-Control-Request-Method: POST
Origin: http://localhost:64947
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36
Access-Control-Request-Headers: __requestverificationtoken, accept, content-type
Accept: */*
Referer: http://localhost:64947/
Accept-Encoding: gzip, deflate, sdch
Accept-Language: en-GB,en-US;q=0.8,en;q=0.6
這個返回302。
OPTIONS http://localhost:64789/Example2/Example2/ HTTP/1.1
Host: localhost:64789
Connection: keep-alive
Access-Control-Request-Method: POST
Origin: http://localhost:64947
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36
Access-Control-Request-Headers: __requestverificationtoken, accept, content-type
Accept: */*
Referer: http://localhost:64947/
Accept-Encoding: gzip, deflate, sdch
Accept-Language: en-GB,en-US;q=0.8,en;q=0.6
這個返回200。
任何幫助都非常有用。
我認為您忘記為您的表單發送內容類型標題。 嘗試從此答案中添加一些內容類型: https : //stackoverflow.com/a/35452170/1727132
通過將[HttpGet]屬性添加到表單的get方法來解決此問題。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.