![](/img/trans.png)
[英]Unable to validate Antiforgery token when cookie is set to httponly
[英]Unable to validate the antiforgery token
我試圖從我的 js 文件中將防偽令牌傳遞給 MVC controller 中的 HTTPPost 方法。 我收到以下錯誤:
“防偽令牌驗證失敗:所需的防偽 cookie“__RequestVerificationToken”不存在。”
當我嘗試調試 js 代碼並查看時,我在“antiForgeryToken”變量中看到了令牌。 但不確定發生了什么。 有人可以告訴我我在做什么錯嗎? 這是我來自 js 文件的代碼:
options.data = function (find) {
var antiForgeryToken = $("#forgeryToken").val();
fetch('/Options/Students/StudentScore',
{
method: 'POST',
body: JSON.stringify({
find: find,
querystringParams: querystringParams
}),
headers: {
"Content-type": "application/json; charset=UTF-8",
"RequestVerificationToken": antiForgeryToken
}
})
.then(function (response) { return response.json() })
.then(function (response) {
var mapped = _.map(response.Results,
function(i) {
return {
DisplayValue: i.text
}
});
return mapped;
})
.catch(function(err) {
debugger;
});
}
這是我的操作方法
[System.Web.Mvc.HttpPost]
[ValidateAntiForgeryTokenAttribute]
public async Task<ActionResult> StudentScore([FromBody] StudentValues request)
{
//Implementation
return JsonNet(sometestval, JsonRequestBehavior.AllowGet);
}
這是我的防偽 class
[AttributeUsage(AttributeTargets.Method)]
public class ValidateAntiForgeryTokenAttribute : FilterAttribute, IAuthorizationFilter
{
public void OnAuthorization(AuthorizationContext filterContext)
{
try
{
if (filterContext.HttpContext.Request.IsAjaxRequest())
{
ValidateRequestHeader(filterContext.HttpContext.Request);
}
else
{
AntiForgery.Validate();
}
}
catch(Exception e)
{
throws exception;
}
}
private static void ValidateRequestHeader(HttpRequestBase request)
{
var cookieToken = string.Empty;
var formToken = string.Empty;
var tokenValue = request.Headers["RequestVerificationToken"];
if (!string.IsNullOrEmpty(tokenValue))
{
var tokens = tokenValue.Split(':');
if (tokens.Length == 2)
{
cookieToken = tokens[0].Trim();
formToken = tokens[1].Trim();
}
}
AntiForgery.Validate(cookieToken, formToken);
}
}
嘗試編輯這個:
var antiForgeryToken = $("#forgeryToken").val();
對此:
var antiForgeryToken = $('input[name="__RequestVerificationToken"]').val();
通常,AntiForgery 令牌被命名為__RequestVerificationToken而不是帶有forgeryToken的 ID,除非您明確重命名它。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.