Html.AntiForgeryToken() 升级到 .NET 3.5 SP1 后导致错误

Posted 2023-02-22

技术标签:

【中文标题】Html.AntiForgeryToken() 升级到 .NET 3.5 SP1 后导致错误【英文标题】：Html.AntiForgeryToken() causeing errors after upgrading to .NET 3.5 SP1 【发布时间】：2010-10-06 21:49:37 【问题描述】：

我刚刚更新到 .NET 3.5 SP1，而我曾经工作的 ASP.NET MVC 页面现在已经停止工作。

当尝试加载页面时，我得到以下 YSOD

[CryptographicException: Padding is invalid and cannot be removed.]
   System.Security.Cryptography.RijndaelManagedTransform.DecryptData(Byte[] inputBuffer, Int32 inputOffset, Int32 inputCount, Byte[]& outputBuffer, Int32 outputOffset, PaddingMode paddingMode, Boolean fLast) +7596702
   System.Security.Cryptography.RijndaelManagedTransform.TransformFinalBlock(Byte[] inputBuffer, Int32 inputOffset, Int32 inputCount) +208
   System.Security.Cryptography.CryptoStream.FlushFinalBlock() +33
   System.Web.Configuration.MachineKeySection.EncryptOrDecryptData(Boolean fEncrypt, Byte[] buf, Byte[] modifier, Int32 start, Int32 length, IVType ivType, Boolean useValidationSymAlgo) +225
   System.Web.UI.ObjectStateFormatter.Deserialize(String inputString) +195

[ViewStateException: Invalid viewstate. 
    Client IP: 127.0.0.1
    Port: 
    User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-GB; rv:1.9.0.6) Gecko/2009011913 Firefox/3.0.6 (.NET CLR 3.5.30729)
    ViewState: hC6BC8KsuD/yoy2iG74bUZ8TYhGfuDDeIjh9fg/L18yr/E+1Nk/pjS5gyn9O+2jY
    Referer: http://localhost:1092/admin/product
    Path: /admin.aspx/product/edit/4193]

[HttpException (0x80004005): Validation of viewstate MAC failed. If this application is hosted by a Web Farm or cluster, ensure that <machineKey> configuration specifies the same validationKey and validation algorithm. AutoGenerate cannot be used in a cluster.]
   System.Web.UI.ViewStateException.ThrowError(Exception inner, String persistedState, String errorPageMessage, Boolean macValidationError) +106
   System.Web.UI.ViewStateException.ThrowMacValidationError(Exception inner, String persistedState) +14
   System.Web.UI.ObjectStateFormatter.Deserialize(String inputString) +242
   System.Web.UI.ObjectStateFormatter.System.Web.UI.IStateFormatter.Deserialize(String serializedState) +4
   System.Web.Mvc.AntiForgeryTokenSerializer.Deserialize(String serializedToken) +73

如果我删除该行

<%= html.AntiForgeryToken() %>

一切都恢复正常了，有什么想法可能导致这种情况吗？如果这是一个 MVC 或 .NET 问题，我本来希望找到解决方案的运气更好，所以我猜这与我的配置有关。

我尝试重新安装 MVC 框架，看看是否是因为我在 SP1 之前安装，但我仍然遇到同样的问题。 Google 和 SO 搜索尚未得出任何确定的结论。

【问题讨论】：

【参考方案1】：

如果站点已部署并且您正在进行维护（包括 ASP.NET MVC 程序集更新），则不能选择清除浏览器缓存。这是我使用的解决方案：

@Html.AntiForgeryTokenReset() @* use this instead*@

这里是扩展方法

public static MvcHtmlString AntiForgeryTokenReset(this HtmlHelper htmlHelper)

    try
    
        return htmlHelper.AntiForgeryToken();
     catch (Exception ex)
    
        var request = HttpContext.Current.Request;
        request.Cookies.Clear();
        return htmlHelper.AntiForgeryToken();

【讨论】：

有趣的解决方案。我想过使用它，但由于 cookie 是一个会话 cookie，当访问者关闭浏览器时它会消失。因为我已经在 web.config 中添加了机器密钥，所以在以后的更新中不会有问题。【参考方案2】：

现在看来这个问题已经解决了。看看http://forums.asp.net/p/1388671/2960554.aspx

【讨论】：

这适用于本地开发，其中站点覆盖彼此的cookie，已修复。【参考方案3】：

Doh，刚刚解决了。

清除了我的浏览器缓存和 cookie，一切正常。

【讨论】：

谢谢！这真的帮助了我，快疯了。为我节省了 2 小时的研究时间。谢谢同样如此。为什么这可以解决问题？为什么首先会出现问题？天哪，毕竟我试过了，生成了一堆机器密钥，我所要做的就是清除 cookie！非常感谢！关闭浏览器也可以，因为它是使用的会话 cookie。在 web.config 中添加 machinekey 是长期的解决方案，否则每次重新启动站点时都会出现此问题。见***.com/questions/1360078/…

以上是关于Html.AntiForgeryToken() 升级到 .NET 3.5 SP1 后导致错误的主要内容，如果未能解决你的问题，请参考以下文章

使用删除链接删除对象时如何包含 @Html.AntiForgeryToken()

[转]MVC Html.AntiForgeryToken() 防止CSRF攻击

如何通过 AngularJs 发送 AntiForgeryToken？

Html.AntiForgeryToken() 升级到 .NET 3.5 SP1 后导致错误

ajax中加上AntiForgeryToken防止CSRF攻击

使用 jQuery Ajax 和 Html.AntiForgeryToken() 时，防伪表单字段“__RequestVerificationToken”不存在