logo标签列表

当使用jQuery Ajax和Html.AntiForgeryToken()时,防伪造表单字段“__RequestVerificationToken”不存在。

jqueryasp.net-mvc-4
8
我为这个问题中被接受的答案实现了Razor等效解决方案:jQuery Ajax调用和Html.AntiForgeryToken(),但我一直收到以下异常信息:

System.Web.Mvc.HttpAntiForgeryException (0x80004005):所需的防伪表单字段 "__RequestVerificationToken" 不存在。

编辑

我设法通过以下方式解决了这个问题:

function AddAntiForgeryToken(data) {
    data.append('__RequestVerificationToken',$('#__AjaxAntiForgeryForm input[name=__RequestVerificationToken]').val());
    return data;
};

function CallAjax(url, type, data, success, error) {

    var ajaxOptions = { url: url, type: type, contentType: 'application/json'};

    if (type == 'POST') {
        var fd = new window.FormData();
        fd = AddAntiForgeryToken(fd);
        $.each(data, function (i, n) {
            fd.append(i,n);
        });
        data = fd;
        ajaxOptions.processData = false;
        ajaxOptions.contentType = false;
    }

    ajaxOptions.data = data;

    if (success) ajaxOptions.success = success;

    //If there is a custom error handler nullify the general statusCode setting.
    if (error) {
        ajaxOptions.error = error;
        ajaxOptions.statusCode = null;
    };

    $.ajax(ajaxOptions);
}

很不幸,FormData()仅受支持于最新的浏览器版本。

编辑 我想知道为什么ValidateAntiForgeryTokenAttribute只在表单数据中寻找AntiForgeryToken,而不像下面代码中的密封类AntiForgeryTokenStoreAntiForgeryWorker一样在路由值中寻找它?

public void Validate(HttpContextBase httpContext)
{
  this.CheckSSLConfig(httpContext);
  AntiForgeryToken cookieToken = this._tokenStore.GetCookieToken(httpContext);
  AntiForgeryToken formToken = this._tokenStore.GetFormToken(httpContext);
  this._validator.ValidateTokens(httpContext, AntiForgeryWorker.ExtractIdentity(httpContext), cookieToken, formToken);
}


public AntiForgeryToken GetFormToken(HttpContextBase httpContext)
{
  string serializedToken = httpContext.Request.Form[this._config.FormFieldName];
  if (string.IsNullOrEmpty(serializedToken))
    return (AntiForgeryToken) null;
  else
    return this._serializer.Deserialize(serializedToken);
}
展示你的代码。在网络选项卡中,你看到了哪些POST数据? - SLaks
@Slaks,在我编辑后,你是否还需要更多信息来理解我的问题? - RonyK
3个回答
5
1
创建防伪令牌:
@using (Html.BeginForm()) {
    @Html.AntiForgeryToken()
    <input ...>
}

创建一个函数来将令牌添加到ajax请求中:
function addRequestVerificationToken(data) {
    data.__RequestVerificationToken=$('input[name=__RequestVerificationToken]').val();
    return data;
};

然后你可以像这样使用它:
$.ajax({
   type: "POST",
   url: '@Url.Action("MyMethod", "MyController", new {area = "MyArea"})',
   dataType: "json",
   traditional: true,
   data: addRequestVerificationToken( { "id": "12345678" } );
})
.done(function(result) {
   if (result) {
       // Do something
   } else {
       // Log or show an error message
   }
   return false;
});
有什么想法可以处理JQuery MVC回传吗?https://forums.asp.net/t/2104049.aspx?Grid+Inline+Editing+JQuery+PostBack - singhswat
1
步骤1:在您的视图HTML中使用@Html.AntiForgeryToken()。 步骤2:在您发送的数据中添加_RequestVerificationToken=$('input[name=__RequestVerificationToken]').val()。 - Krishna
0
当您调用CallAjax()时,data是从哪里来的?我问这个问题是因为通常情况下,如果数据来自表单,则您的CSRF令牌已经是表单的一部分,通常在隐藏字段中。
<form action="yourPage.html" method="POST">
    <input type="hidden" name="__RequestVerificationToken" value="......"/>
    .... other form fields ....
</form>

因此,如果您的数据都来自表单,那么您只需要确保令牌是该表单的隐藏部分,并且令牌应自动包含在其中。

如果您的数据来自于表单以外的地方,那么您可能会将令牌藏在某个位置,然后在组装数据后再加入它。但是您可以考虑将令牌添加到数据中,而不是从令牌构建一个新对象,然后将所有数据添加到其中。

if (type == 'POST') {
    data._RequestVerificationToken = $("input[name='__RequestVerificationToken']").val();
    ajaxOptions.processData = false;
    ajaxOptions.contentType = false;
}
如我所链接的问答中所述,该数据是由使用jQuery实现的客户端业务逻辑构建的json对象,它不是任何表单的一部分。我可以按照您所描述的方式构建数据,但问题仍然存在,因为我仍然需要将数据作为FormData()传递。 - RonyK
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接