使用 jQuery Ajax 和 Html.AntiForgeryToken() 时,防伪表单字段“__RequestVerificationToken”不存在
Posted
技术标签:
【中文标题】使用 jQuery Ajax 和 Html.AntiForgeryToken() 时,防伪表单字段“__RequestVerificationToken”不存在【英文标题】:anti-forgery form field "__RequestVerificationToken" is not present when using jQuery Ajax and the Html.AntiForgeryToken() 【发布时间】:2013-05-23 12:15:39 【问题描述】:我为这个问题的已接受答案中描述的解决方案实现了 Razor 等效项:jQuery Ajax calls and the html.AntiForgeryToken() 但我不断收到以下异常:
System.Web.Mvc.HttpAntiForgeryException (0x80004005):必需 防伪表单字段“__RequestVerificationToken”不存在。
编辑
我设法解决了这个问题:
function AddAntiForgeryToken(data)
data.append('__RequestVerificationToken',$('#__AjaxAntiForgeryForm input[name=__RequestVerificationToken]').val());
return data;
;
function CallAjax(url, type, data, success, error)
var ajaxOptions = url: url, type: type, contentType: 'application/json';
if (type == 'POST')
var fd = new window.FormData();
fd = AddAntiForgeryToken(fd);
$.each(data, function (i, n)
fd.append(i,n);
);
data = fd;
ajaxOptions.processData = false;
ajaxOptions.contentType = false;
ajaxOptions.data = data;
if (success) ajaxOptions.success = success;
//If there is a custom error handler nullify the general statusCode setting.
if (error)
ajaxOptions.error = error;
ajaxOptions.statusCode = null;
;
$.ajax(ajaxOptions);
但不幸的是,FormData() 仅在最新的浏览器版本中受支持。 任何可以在 FormData() 引入之前起作用的解决方法?
编辑 我想知道为什么 ValidateAntiForgeryTokenAttribute 仅在表单数据中查找 AntyForgeryToken,而不是在 rout 值中查找它,正如您在下面密封类的代码中看到的那样 AntiForgeryTokenStore 和 AntiForgeryWorker?
public void Validate(HttpContextBase httpContext)
this.CheckSSLConfig(httpContext);
AntiForgeryToken cookieToken = this._tokenStore.GetCookieToken(httpContext);
AntiForgeryToken formToken = this._tokenStore.GetFormToken(httpContext);
this._validator.ValidateTokens(httpContext, AntiForgeryWorker.ExtractIdentity(httpContext), cookieToken, formToken);
public AntiForgeryToken GetFormToken(HttpContextBase httpContext)
string serializedToken = httpContext.Request.Form[this._config.FormFieldName];
if (string.IsNullOrEmpty(serializedToken))
return (AntiForgeryToken) null;
else
return this._serializer.Deserialize(serializedToken);
【问题讨论】:
向我们展示您的代码。您在网络标签中看到了哪些 POST 数据? @Slaks,经过我的编辑,您还需要更多信息来了解我的问题吗? 【参考方案1】:好吧,在挖掘了更多之后,我在这个链接中找到了一个很好的解决我的问题的方法: ASP.NET MVC Ajax CSRF Protection With jQuery 1.5
据我了解,此问题的所选答案中描述的解决方案:jQuery Ajax calls and the Html.AntiForgeryToken(),不应该工作(确实对我来说失败了)。
【讨论】:
【参考方案2】:创建防伪令牌:
@using (Html.BeginForm())
@Html.AntiForgeryToken()
<input ...>
创建一个将令牌添加到 ajax 请求的函数:
function addRequestVerificationToken(data)
data.__RequestVerificationToken=$('input[name=__RequestVerificationToken]').val();
return data;
;
然后你可以像这样使用它:
$.ajax(
type: "POST",
url: '@Url.Action("MyMethod", "MyController", new area = "MyArea")',
dataType: "json",
traditional: true,
data: addRequestVerificationToken( "id": "12345678" );
)
.done(function(result)
if (result)
// Do something
else
// Log or show an error message
return false;
);
【讨论】:
知道如何处理 JQuery MVC 回发forums.asp.net/t/… 步骤 1. 在 HTML 视图中使用 @Html.AntiForgeryToken()。 STEP 2. 在您发送的数据中添加 _RequestVerificationToken=$('input[name=__RequestVerificationToken]').val()。【参考方案3】:当您拨打CallAjax() 时,data 来自哪里?我问是因为,通常当您的数据来自表单时,您的 CSRF 令牌已经是表单的一部分,通常在隐藏字段中。
<form action="yourPage.html" method="POST">
<input type="hidden" name="__RequestVerificationToken" value="......"/>
.... other form fields ....
</form>
因此,如果您的数据全部来自表单,那么您应该确保令牌是该表单的隐藏部分,并且应该自动包含令牌。
如果您的数据来自表单以外的其他地方,那么您可以将令牌存储在某个地方,然后在数据组装后将其包含在内,这是可以理解的。但您可能会考虑将令牌添加到数据中,而不是从令牌构建新对象,然后将所有数据添加到其中。
if (type == 'POST')
data._RequestVerificationToken = $("input[name='__RequestVerificationToken']").val();
ajaxOptions.processData = false;
ajaxOptions.contentType = false;
【讨论】:
正如我链接到的 Q/A 中所述,数据是由使用 jQuery 实现的客户端业务逻辑构建的 json 对象,它不属于任何形式。我可以按照您描述的方式构建数据,但问题仍然存在,因为我仍然需要将数据作为 FormData() 传递以上是关于使用 jQuery Ajax 和 Html.AntiForgeryToken() 时,防伪表单字段“__RequestVerificationToken”不存在的主要内容,如果未能解决你的问题,请参考以下文章
Ajax-05 使用XMLHttpRequest和jQuery实现Ajax实例
使用 codeigniter 和 jquery 进行 AJAX 分页