JQuery Ajax вызывает и Html.AntiForgeryToken ()

Question

JQuery Ajax вызывает и Html.AntiForgeryToken ()

162

Я применил в своем приложении смягчение атак CSRF в соответствии с информацией, которую я прочитал в блоге в Интернете. В частности, эти сообщения были драйвером моей реализации

Рекомендации для ASP.NET MVC из группы контента для разработчиков ASP.NET и веб-инструментов.
Анатомия межсайтового запроса на подделку из блога Phil Haack
AntiForgeryToken в ASP.NET MVC Framework - Html.AntiForgeryToken и ValidateAntiForgeryToken Атрибут из блога Дэвида Хейдена

В основном эти статьи и рекомендации говорят, что для предотвращения атаки CSRF кто-то должен реализовать следующий код:

1) Добавьте [ValidateAntiForgeryToken] для каждого действия, принимающего HTTP-адрес POST

[HttpPost]
[ValidateAntiForgeryToken]
public ActionResult SomeAction( SomeModel model ) {
}

2) Добавьте вспомогательный элемент <%= Html.AntiForgeryToken() %> внутри форм, который отправляет данные на сервер

<div style="text-align:right; padding: 8px;">
    <%= Html.AntiForgeryToken() %>
    <input type="submit" id="btnSave" value="Save" />
</div>

В любом случае в некоторых частях моего приложения я делаю AJAX POST с jQuery на сервере без какой-либо формы. Это происходит, например, когда я позволяю пользователю щелкнуть изображение, чтобы выполнить конкретное действие.

Предположим, что у меня есть таблица со списком действий. У меня есть изображение в столбце таблицы, в котором говорится: "Отметить активность как завершенную", и когда пользователь нажимает на эту активность, я делаю Ajax POST, как в следующем примере:

$("a.markAsDone").click(function (event) {
    event.preventDefault();
    $.ajax({
        type: "post",
        dataType: "html",
        url: $(this).attr("rel"),
        data: {},
        success: function (response) {
            // ....
        }
    });
});

Как я могу использовать <%= Html.AntiForgeryToken() %> в этих случаях? Должен ли я включать вспомогательный вызов внутри параметра данных вызова Ajax?

Извините за длинный пост и очень спасибо за помощь

ИЗМЕНИТЬ

По jayrdub ответ, который я использовал следующим образом

$("a.markAsDone").click(function (event) {
    event.preventDefault();
    $.ajax({
        type: "post",
        dataType: "html",
        url: $(this).attr("rel"),
        data: {
            AddAntiForgeryToken({}),
            id: parseInt($(this).attr("title"))
        },
        success: function (response) {
            // ....
        }
    });
});

Lorenzo 01 нояб. 2010, в 23:55

Источник

0

Ссылка Дэвида Хейдена теперь 404-ая, похоже, он перенес свой блог на новую CMS, но не перенес весь старый контент.
user456814 02 янв. 2013, в 17:20

Теги:

csrf

ajax

asp.net-mvc

antiforgerytoken

asp.net-mvc-2

16 ответов

22

Мне нравится решение, предоставляемое 360Airwalk, но оно может быть немного улучшено.

Первая проблема заключается в том, что если вы создаете $.post() с пустыми данными, jQuery не добавляет заголовок Content-Type, и в этом случае ASP.NET MVC не сможет получить и проверить токен. Поэтому вы должны гарантировать, что заголовок всегда есть.

Еще одно усовершенствование - поддержка всех HTTP-глаголов с содержимым: POST, PUT, DELETE и т.д. Хотя вы можете использовать только POST в своем приложении, лучше иметь общее решение и убедиться, что все данные, которые вы получаете с помощью любого глагола, токен анти-подделки.

$(document).ready(function () {
    var securityToken = $('[name=__RequestVerificationToken]').val();
    $(document).ajaxSend(function (event, request, opt) {
        if (opt.hasContent && securityToken) {   // handle all verbs with content
            var tokenParam = "__RequestVerificationToken=" + encodeURIComponent(securityToken);
            opt.data = opt.data ? [opt.data, tokenParam].join("&") : tokenParam;
            // ensure Content-Type header is present!
            if (opt.contentType !== false || event.contentType) {
                request.setRequestHeader( "Content-Type", opt.contentType);
            }
        }
    });
});

Bronx 24 авг. 2012, в 21:50

1

+1 вы правы, я не задумывался о проблеме пустых звонков. спасибо за вклад. вы были правы насчет того, что мы еще не используем delete / put в нашем проекте.
360Airwalk 19 сен. 2012, в 15:37
2

+1 за спасение от необходимости добавлять функцию ко всем вызовам jQuery.Ajax
Dragos Durlut 09 окт. 2012, в 07:40
2

+1 Как примечание для потомков, документация jQuery для .ajaxSend() гласит: «Начиная с jQuery 1.8, метод .ajaxSend () должен быть только прикреплен к документу». api.jquery.com/ajaxsend
RJ Cuthbertson 28 авг. 2014, в 19:22
0

Спасибо, @RJCuthbertson, я изменил код.
Bronx 05 сен. 2014, в 01:27
1

@ Бронкс Откуда берутся options , которые перечислены в последнем операторе if ? Благодарю.
hvaughan3 20 апр. 2016, в 16:19
0

@ hvaughan3, хороший улов, спасибо. Исправлена.
Bronx 20 апр. 2016, в 19:53
0

Остерегайтесь использовать это, если у вас есть несколько форм на странице. Вам нужно будет установить значение в beforeSend с более конкретным вызовом селектора вместо документа.
Dan 11 сен. 2016, в 05:27

Показать ещё 5 комментариев

17

Не используйте Html.AntiForgeryToken. Вместо этого используйте AntiForgery.GetTokens и AntiForgery.Validate из веб-API, как описано в Предотвращение подделок подшивок (CSRF).

Edward Brey 06 март 2013, в 20:01

0

Для методов действия контроллера, которые связывают тип модели сервера с опубликованным AJAX JSON, для использования правильного связывателя модели требуется тип содержимого «application / json». К сожалению, это исключает использование данных формы, требуемых атрибутом [ValidateAntiForgeryToken], поэтому ваш метод - единственный способ найти его, чтобы он работал. Единственный вопрос: работает ли он в веб-ферме или в нескольких экземплярах веб-роли Azure? Вы @ Эдвард или кто-то еще знает, если это проблема?
Richard B 15 май 2013, в 22:27
0

@ Эдвард Брей Не могли бы вы уточнить, почему мы не должны его использовать?
Odys 11 фев. 2014, в 22:43
4

@Odys: По сути, в Html.AntiForgeryToken нет ничего плохого, но у него есть свои недостатки: требуется форма, требуется jQuery и предполагаются недокументированные детали реализации Html.AntiForgeryToken. Тем не менее, это хорошо во многих контекстах. Мое утверждение «Не используйте Html.AntiForgeryToken», вероятно, звучит слишком сильно. Я имею в виду, что он не предназначен для использования с Web API, в то время как более гибкий AntiForgery.GetTokens.
Edward Brey 11 фев. 2014, в 22:59
0

Спасибо! Мне пришлось немного изменить его, чтобы он работал на контроллере MVC5, но это было решением
jao 25 авг. 2014, в 08:15
2

Это, конечно, не требует формы. Вам просто нужно разобрать DOM для этого по имени. Используя jquery, я могу добавить его в свой объект данных через data {__RequestVerificationToken: $ ("input [name = __ RequestVerificationToken]"). Val ()}
Anthony Mason 06 май 2016, в 13:37

Показать ещё 3 комментария

15

Я знаю, что есть много других ответов, но эта статья хороша и лаконична и заставляет вас проверять все ваши HttpPosts, а не только некоторые из них:

http://richiban.wordpress.com/2013/02/06/validating-net-mvc-4-anti-forgery-tokens-in-ajax-requests/

Он использует заголовки HTTP вместо того, чтобы пытаться изменить коллекцию форм.

Сервер

//make sure to add this to your global action filters
[AttributeUsage(AttributeTargets.Class)]
public class ValidateAntiForgeryTokenOnAllPosts : AuthorizeAttribute
{
    public override void OnAuthorization( AuthorizationContext filterContext )
    {
        var request = filterContext.HttpContext.Request;

        //  Only validate POSTs
        if (request.HttpMethod == WebRequestMethods.Http.Post)
        {
            //  Ajax POSTs and normal form posts have to be treated differently when it comes
            //  to validating the AntiForgeryToken
            if (request.IsAjaxRequest())
            {
                var antiForgeryCookie = request.Cookies[AntiForgeryConfig.CookieName];

                var cookieValue = antiForgeryCookie != null
                    ? antiForgeryCookie.Value 
                    : null;

                AntiForgery.Validate(cookieValue, request.Headers["__RequestVerificationToken"]);
            }
            else
            {
                new ValidateAntiForgeryTokenAttribute()
                    .OnAuthorization(filterContext);
            }
        }
    }
}

Client

var token = $('[name=__RequestVerificationToken]').val();
var headers = {};
headers["__RequestVerificationToken"] = token;

$.ajax({
    type: 'POST',
    url: '/Home/Ajax',
    cache: false,
    headers: headers,
    contentType: 'application/json; charset=utf-8',
    data: { title: "This is my title", contents: "These are my contents" },
    success: function () {
        ...
    },
    error: function () {
        ...
    }
});

viggity 17 янв. 2014, в 21:33

3

Атрибут из статьи, которую вы тоже связали в сочетании с ответом Бронкса, является окончательным СУХИМЫМ решением этой проблемы.
TugboatCaptain 02 апр. 2014, в 00:47
2

Отличная находка. Я отредактировал ваш ответ, включив в него фрагменты кода, так что ответ стоит сам по себе, но я надеюсь, что люди прочтут и остальную часть статьи. Похоже, это очень чистое решение.
Tim Medora 17 апр. 2014, в 21:24
0

спасибо Тим, это отличная идея, она расстраивает, когда ссылка обрывается и ответ становится бесполезным. Я начал делать это на всех моих новых ответах.
viggity 29 июль 2014, в 13:58

Показать ещё 1 комментарий

14

Я только что реализовал эту актуальную проблему в своем текущем проекте. я сделал это для всех ajax-POST, которым нужен аутентифицированный пользователь.

Во-первых, я решил подключить мои jquery-вызовы ajax, поэтому я не повторяюсь слишком часто. этот фрагмент javascript гарантирует, что все вызовы ajax (post) добавят токен проверки запроса к запросу. Примечание: имя __RequestVerificationToken используется каркасом .Net, поэтому я могу использовать стандартные функции Anti-CSRF, как показано ниже.

$(document).ready(function () {
    var securityToken = $('[name=__RequestVerificationToken]').val();
    $('body').bind('ajaxSend', function (elm, xhr, s) {
        if (s.type == 'POST' && typeof securityToken != 'undefined') {
            if (s.data.length > 0) {
                s.data += "&__RequestVerificationToken=" + encodeURIComponent(securityToken);
            }
            else {
                s.data = "__RequestVerificationToken=" + encodeURIComponent(securityToken);
            }
        }
    });
});

В ваших представлениях, где вам нужен токен, доступный для вышеуказанного javascript, просто используйте обычный HTML-Helper. Вы можете в принципе добавить этот код везде, где хотите. Я поместил его в оператор if (Request.IsAuthenticated):

@Html.AntiForgeryToken() // you can provide a string as salt when needed which needs to match the one on the controller

В вашем контроллере просто используйте стандартный механизм ASP.Net MVC Anti-CSRF. Я сделал это так (хотя я фактически использовал Соль).

[HttpPost]
[Authorize]
[ValidateAntiForgeryToken]
public JsonResult SomeMethod(string param)
{
    // do something
    return Json(true);
}

С Firebug или аналогичным инструментом вы можете легко увидеть, как ваши POST-запросы теперь содержат параметр __RequestVerificationToken.

360Airwalk 04 апр. 2012, в 17:40

0

хорошее решение Спасибо.
hennson 05 июль 2012, в 09:49

12

Я чувствую себя продвинутым некромантом здесь, но это все еще проблема 4 года спустя в MVC5.

Чтобы правильно обрабатывать запросы ajax, токен анти-подделки должен быть передан серверу на вызовы ajax. Интеграция его в ваши данные и модели сообщений беспорядочна и не нужна. Добавление маркера в качестве настраиваемого заголовка является чистым и многоразовым - и вы можете настроить его, чтобы вам не приходилось делать это каждый раз.

Есть исключение. Ненавязчивый аякс не нуждается в специальной обработке для вызовов ajax. В обычном скрытом поле ввода токен передается как обычно. Точно так же, как обычный POST.

_Layout.cshtml

В _layout.cshtml У меня есть этот блок JavaScript. Он не записывает токен в DOM, а использует jQuery, чтобы извлечь его из скрытого входного литерала, созданного MVC Helper. Строка Magic, которая является именем заголовка, определяется как константа в классе атрибутов.

<script type="text/javascript">
    $(document).ready(function () {
        var isAbsoluteURI = new RegExp('^(?:[a-z]+:)?//', 'i');
        //http://stackoverflow.com/questions/10687099/how-to-test-if-a-url-string-is-absolute-or-relative

        $.ajaxSetup({
            beforeSend: function (xhr) {
                if (!isAbsoluteURI.test(this.url)) {
                    //only add header to relative URLs
                    xhr.setRequestHeader(
                       '@.ValidateAntiForgeryTokenOnAllPosts.HTTP_HEADER_NAME', 
                       $('@Html.AntiForgeryToken()').val()
                    );
                }
            }
        });
    });
</script>

Обратите внимание на использование одинарных кавычек в функции beforeSend - элемент ввода, который визуализирован, использует двойные кавычки, которые бы разрушили литерал JavaScript.

Клиентский JavaScript

Когда это выполняется, вызывается функция beforeSend выше, и AntiForgeryToken автоматически добавляется в заголовки запроса.

$.ajax({
  type: "POST",
  url: "CSRFProtectedMethod",
  dataType: "json",
  contentType: "application/json; charset=utf-8",
  success: function (data) {
    //victory
  }
});

Серверная библиотека

Пользовательский атрибут требуется для обработки нестандартного токена. Это основано на решении @viggity, но правильно обрабатывает ненавязчивый аякс. Этот код можно убрать в общей библиотеке

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method)]
public class ValidateAntiForgeryTokenOnAllPosts : AuthorizeAttribute
{
    public const string HTTP_HEADER_NAME = "x-RequestVerificationToken";

    public override void OnAuthorization(AuthorizationContext filterContext)
    {
        var request = filterContext.HttpContext.Request;

        //  Only validate POSTs
        if (request.HttpMethod == WebRequestMethods.Http.Post)
        {

            var headerTokenValue = request.Headers[HTTP_HEADER_NAME];

            // Ajax POSTs using jquery have a header set that defines the token.
            // However using unobtrusive ajax the token is still submitted normally in the form.
            // if the header is present then use it, else fall back to processing the form like normal
            if (headerTokenValue != null)
            {
                var antiForgeryCookie = request.Cookies[AntiForgeryConfig.CookieName];

                var cookieValue = antiForgeryCookie != null
                    ? antiForgeryCookie.Value
                    : null;

                AntiForgery.Validate(cookieValue, headerTokenValue);
            }
            else
            {
                new ValidateAntiForgeryTokenAttribute()
                    .OnAuthorization(filterContext);
            }
        }
    }
}

Сервер/контроллер

Теперь вы примените этот атрибут к своему действию. Еще лучше вы можете применить этот атрибут к своему контроллеру, и все запросы будут проверены.

[HttpPost]
[ValidateAntiForgeryTokenOnAllPosts]
public virtual ActionResult CSRFProtectedMethod()
{
  return Json(true, JsonRequestBehavior.DenyGet);
}

Will D 16 дек. 2014, в 04:17

0

Идеальное решение, гораздо более централизованное. Спасибо
David Freire 02 апр. 2015, в 13:32
0

Можете ли вы объяснить более подробно, почему вы хотите добавить заголовок только для относительных URL? Это прошло над моей головой. Отличное решение!
MattM 01 сен. 2015, в 17:30
0

относительный гарантирует, что заголовок устанавливается только для запросов, возвращающихся на ваш собственный сервер, так как настройка ajax охватывает все запросы, сделанные с помощью jquery, мы не хотим, чтобы токен отправлялся по запросам jsonp или CORS. Это может быть верно и для абсолютных URL, но относительный гарантированно будет одним доменом.
Will D 02 сен. 2015, в 03:16
1

@WillD Мне понравилось ваше решение, но я был вынужден немного его изменить. Поскольку вы выбираете $.ajaxSetup для определения общего beforesend событий beforesend отправкой, может случиться так, что вы перезапишете его. Я нашел другое решение, где вы можете добавить второй обработчик, который также будет вызываться. Работает хорошо и не нарушает вашу реализацию.
Viper 02 дек. 2015, в 21:54
0

У кого-нибудь есть ASP.net 5 версия клиента, проверяющая атрибут AntiForgery? Эта версия не компилируется в последней версии!
Rob McCabe 15 янв. 2016, в 00:44

Показать ещё 3 комментария

9

Я думаю, что все, что вам нужно сделать, это убедиться, что вход "__RequestVerificationToken" включен в запрос POST. Другая половина информации (т.е. Токен в cookie пользователя) уже отправляется автоматически с запросом POST AJAX.

например.

$("a.markAsDone").click(function (event) {
    event.preventDefault();
    $.ajax({
        type: "post",
        dataType: "html",
        url: $(this).attr("rel"),
        data: { 
            "__RequestVerificationToken":
            $("input[name=__RequestVerificationToken]").val() 
        },
        success: function (response) {
            // ....
        }
    });
});

jball 02 нояб. 2010, в 02:41

1

После многих часов экспериментирования с публикацией jQuery AJAX со страницы MVC (Razor) это был самый простой ответ из всех, которые у меня работали. Просто включите ваши собственные поля данных (или, я полагаю, viewModel) после токена как новый фрагмент данных (но внутри исходного объекта данных).
Ralph Bacon 07 сен. 2013, в 13:29
0

Как бы я это реализовал, если бы функция AJAX была на странице .html, а не на странице Razor?
Bob the Builder 13 авг. 2014, в 10:29
0

Если ваша html-страница не имеет сервера, поставляемого AntiForgeryToken это все AntiForgeryToken будет спорным. Если это произойдет (не уверен, как вы получаете один в этом случае, но при условии, что вы), то вышеописанное будет работать просто отлично. Если вы пытаетесь создать простую веб-страницу, которая будет отправлять запрос на сервер, ожидающий указанный токен, и сервер не сгенерирует указанную страницу, то вам не повезло. В этом и заключается смысл AntiForgeryToken ...
jball 13 авг. 2014, в 20:22

Показать ещё 1 комментарий

4

В дополнение к моему комментарию к ответу @JBall, который помог мне на этом пути, это окончательный ответ, который работает на меня. Я использую MVC и Razor, и я представляю форму с использованием jQuery AJAX, поэтому я могу обновить частичный вид с некоторыми новыми результатами, и я не хотел делать полную обратную передачу (и мерцание страницы).

Добавьте @Html.AntiForgeryToken() внутри формы, как обычно.

Код кнопки отправки моего AJAX (то есть событие onclick):

//User clicks the SUBMIT button
$("#btnSubmit").click(function (event) {

//prevent this button submitting the form as we will do that via AJAX
event.preventDefault();

//Validate the form first
if (!$('#searchForm').validate().form()) {
    alert("Please correct the errors");
    return false;
}

//Get the entire form data - including the antiforgerytoken
var allFormData = $("#searchForm").serialize();

// The actual POST can now take place with a validated form
$.ajax({
    type: "POST",
    async: false,
    url: "/Home/SearchAjax",
    data: allFormData,
    dataType: "html",
    success: function (data) {
        $('#gridView').html(data);
        $('#TestGrid').jqGrid('setGridParam', { url: '@Url.Action("GetDetails", "Home", Model)', datatype: "json", page: 1 }).trigger('reloadGrid');
    }
});

Я оставил действие "успех", так как он показывает, как обновляется частичный вид, содержащий MvcJqGrid и как он обновляется (очень мощная сетка jqGrid, и это блестящая оболочка MVC для нее).

Мой метод контроллера выглядит следующим образом:

    //Ajax SUBMIT method
    [ValidateAntiForgeryToken]
    public ActionResult SearchAjax(EstateOutlet_D model) 
    {
        return View("_Grid", model);
    }

Я должен признать, что не являюсь поклонником POSTing всей формы данных как модели, но если вам нужно это сделать, то это один из способов, который работает. MVC просто делает привязку данных слишком простой, поэтому, не предполагая 16 отдельных значений (или слабо типизированного FormCollection), это нормально. Если вы знаете лучше, сообщите мне, поскольку я хочу создать надежный код MVC С#.

Ralph Bacon 07 сен. 2013, в 15:28

4

Вы также можете сделать это:

$("a.markAsDone").click(function (event) {
    event.preventDefault();

    $.ajax({
        type: "post",
        dataType: "html",
        url: $(this).attr("rel"),
        data: $('<form>@Html.AntiForgeryToken()</form>').serialize(),
        success: function (response) {
        // ....
        }
    });
});

Это использует Razor, но если вы используете синтаксис WebForms, вы можете просто использовать теги <%= %>

Leonardo Garcia Crespo 06 май 2011, в 19:14

3

Функция 1.Define для получения токена с сервера

@function
{

        public string TokenHeaderValue()
        {
            string cookieToken, formToken;
            AntiForgery.GetTokens(null, out cookieToken, out formToken);
            return cookieToken + ":" + formToken;                
        }
}

2. Установите токен и установите заголовок перед отправкой на сервер

var token = '@TokenHeaderValue()';    

       $http({
           method: "POST",
           url: './MainBackend/MessageDelete',
           data: dataSend,
           headers: {
               'RequestVerificationToken': token
           }
       }).success(function (data) {
           alert(data)
       });

3. Проверка Onserver на HttpRequestBase по методу, с которым вы обрабатываете сообщение /get

        string cookieToken = "";
        string formToken = "";
        string[] tokens = Request.Headers["RequestVerificationToken"].Split(':');
            if (tokens.Length == 2)
            {
                cookieToken = tokens[0].Trim();
                formToken = tokens[1].Trim();
            }
        AntiForgery.Validate(cookieToken, formToken);

Tonman Neverwalk alone 28 авг. 2013, в 21:27

2

нашел эту очень умную идею из https://gist.github.com/scottrippey/3428114 для каждого вызова $.ajax, она изменяет запрос и добавляет токен.

// Setup CSRF safety for AJAX:
$.ajaxPrefilter(function(options, originalOptions, jqXHR) {
    if (options.type.toUpperCase() === "POST") {
        // We need to add the verificationToken to all POSTs
        var token = $("input[name^=__RequestVerificationToken]").first();
        if (!token.length) return;

        var tokenName = token.attr("name");

        // If the data is JSON, then we need to put the token in the QueryString:
        if (options.contentType.indexOf('application/json') === 0) {
            // Add the token to the URL, because we can't add it to the JSON data:
            options.url += ((options.url.indexOf("?") === -1) ? "?" : "&") + token.serialize();
        } else if (typeof options.data === 'string' && options.data.indexOf(tokenName) === -1) {
            // Append to the data string:
            options.data += (options.data ? "&" : "") + token.serialize();
        }
    }
});

masterlopau 08 июль 2015, в 00:14

1

Я знаю, что прошло некоторое время с момента публикации этого вопроса, но я нашел действительно полезный ресурс, в котором обсуждается использование AntiForgeryToken и делает его менее трудным для использования. Он также предоставляет плагин jquery для простого включения маркера antiforgery в вызовы AJAX:

Рецепты запроса на антивирусные запросы для ASP.NET MVC и AJAX

Я не очень люблю, но, возможно, кто-то найдет его полезным.

slawek 27 фев. 2012, в 15:43

0

Этот пост длиной в милю! Я уверен, что это здорово, но д-р
BritishDeveloper 27 апр. 2012, в 14:25
0

Слишком плохо, потому что это хорошо покрывает предмет. Он не только говорит вам, как использовать функцию, но и объясняет, какую проблему она исправляет, и дает вам контекст, чтобы понять, как правильно ее использовать. Что касается безопасности, я думаю, что глубокое понимание важно.
slawek 27 апр. 2012, в 17:34
2

Если это важно, это должно быть написано так, чтобы поощрять людей читать это;)
BritishDeveloper 30 апр. 2012, в 08:26

Показать ещё 1 комментарий

0

Я использую пост ajax для запуска метода удаления (бывает, это временная шкала visjs, но это не соответствует). Вот что я понимаю:

Это мой index.cshtml

@Scripts.Render("~/bundles/schedule")
@Styles.Render("~/bundles/visjs")
@Html.AntiForgeryToken()

<!-- div to attach schedule to -->
<div id='schedule'></div>

<!-- div to attach popups to -->
<div id='dialog-popup'></div>

Все, что я добавил здесь, было @Html.AntiForgeryToken(), чтобы сделать маркер на странице

Затем в моем сообщении ajax я использовал:

$.ajax(
    {
        type: 'POST',
        url: '/ScheduleWorks/Delete/' + item.id,
        data: {
            '__RequestVerificationToken': 
            $("input[name='__RequestVerificationToken']").val()
              }
     }
);

Что добавляет значение токена, соскоблило страницу, в поля, помеченные

До этого я попытался поместить значение в заголовки, но я получил ту же ошибку

Не стесняйтесь публиковать улучшения. Это, безусловно, кажется простым подходом, который я могу понять.

Nick.McDermaid 26 июнь 2017, в 11:17

0

function DeletePersonel(id) {

    var data = new FormData();
    data.append("__RequestVerificationToken", "@HtmlHelper.GetAntiForgeryToken()");

    $.ajax({
        type: 'POST',
        url: '/Personel/Delete/' + id,
        data: data,
        cache: false,
        processData: false,
        contentType: false,
        success: function (result) {
        }
    });
}

public static class HtmlHelper {
    public static string GetAntiForgeryToken() {
        System.Text.RegularExpressions.Match value = 
                System.Text.RegularExpressions.Regex.Match(System.Web.Helpers.AntiForgery.GetHtml().ToString(), 
                        "(?:value=\")(.*)(?:\")");
        if (value.Success) {
            return value.Groups[1].Value;
        }
        return "";
    }
}

ismail eski 01 сен. 2016, в 19:59

0

Небольшое улучшение для решения 360Airwalk. Это встраивает токен Anti Forgery в функцию javascript, поэтому @Html.AntiForgeryToken() больше не нужно включать в каждое представление.

$(document).ready(function () {
    var securityToken = $('@Html.AntiForgeryToken()').attr('value');
    $('body').bind('ajaxSend', function (elm, xhr, s) {
        if (s.type == 'POST' && typeof securityToken != 'undefined') {
            if (s.data.length > 0) {
                s.data += "&__RequestVerificationToken=" + encodeURIComponent(securityToken);
            }
            else {
                s.data = "__RequestVerificationToken=" + encodeURIComponent(securityToken);
            }
        }
    });
});

Barry MSIH 03 окт. 2014, в 19:12

-1

AntiforgeryToken все еще боль, ни один из приведенных выше примеров не работал дословно для меня. Слишком много там. Поэтому я объединил их всех. Нужна @Html.AntiforgeryToken в форме, висящей вокруг iirc

Решено как таковое:

function Forgizzle(eggs) {
    eggs.__RequestVerificationToken =  $($("input[name=__RequestVerificationToken]")[0]).val();
    return eggs;
}

$.ajax({
            url: url,
            type: 'post',
            data: Forgizzle({ id: id, sweets: milkway }),
});

В случае сомнений добавьте еще $sign

Hazza 09 нояб. 2011, в 14:06

Ещё вопросы

Ссылка Дэвида Хейдена теперь 404-ая, похоже, он перенес свой блог на новую CMS, но не перенес весь старый контент.
+1 вы правы, я не задумывался о проблеме пустых звонков. спасибо за вклад. вы были правы насчет того, что мы еще не используем delete / put в нашем проекте.
+1 за спасение от необходимости добавлять функцию ко всем вызовам jQuery.Ajax
+1 Как примечание для потомков, документация jQuery для .ajaxSend() гласит: «Начиная с jQuery 1.8, метод .ajaxSend () должен быть только прикреплен к документу». api.jquery.com/ajaxsend
@ Бронкс Откуда берутся options , которые перечислены в последнем операторе if ? Благодарю.
@ hvaughan3, хороший улов, спасибо. Исправлена.
Остерегайтесь использовать это, если у вас есть несколько форм на странице. Вам нужно будет установить значение в beforeSend с более конкретным вызовом селектора вместо документа.
Для методов действия контроллера, которые связывают тип модели сервера с опубликованным AJAX JSON, для использования правильного связывателя модели требуется тип содержимого «application / json». К сожалению, это исключает использование данных формы, требуемых атрибутом [ValidateAntiForgeryToken], поэтому ваш метод - единственный способ найти его, чтобы он работал. Единственный вопрос: работает ли он в веб-ферме или в нескольких экземплярах веб-роли Azure? Вы @ Эдвард или кто-то еще знает, если это проблема?
@ Эдвард Брей Не могли бы вы уточнить, почему мы не должны его использовать?
@Odys: По сути, в Html.AntiForgeryToken нет ничего плохого, но у него есть свои недостатки: требуется форма, требуется jQuery и предполагаются недокументированные детали реализации Html.AntiForgeryToken. Тем не менее, это хорошо во многих контекстах. Мое утверждение «Не используйте Html.AntiForgeryToken», вероятно, звучит слишком сильно. Я имею в виду, что он не предназначен для использования с Web API, в то время как более гибкий AntiForgery.GetTokens.
Спасибо! Мне пришлось немного изменить его, чтобы он работал на контроллере MVC5, но это было решением
Это, конечно, не требует формы. Вам просто нужно разобрать DOM для этого по имени. Используя jquery, я могу добавить его в свой объект данных через data {__RequestVerificationToken: $ ("input [name = __ RequestVerificationToken]"). Val ()}
Атрибут из статьи, которую вы тоже связали в сочетании с ответом Бронкса, является окончательным СУХИМЫМ решением этой проблемы.
Отличная находка. Я отредактировал ваш ответ, включив в него фрагменты кода, так что ответ стоит сам по себе, но я надеюсь, что люди прочтут и остальную часть статьи. Похоже, это очень чистое решение.
спасибо Тим, это отличная идея, она расстраивает, когда ссылка обрывается и ответ становится бесполезным. Я начал делать это на всех моих новых ответах.
Идеальное решение, гораздо более централизованное. Спасибо
Можете ли вы объяснить более подробно, почему вы хотите добавить заголовок только для относительных URL? Это прошло над моей головой. Отличное решение!
относительный гарантирует, что заголовок устанавливается только для запросов, возвращающихся на ваш собственный сервер, так как настройка ajax охватывает все запросы, сделанные с помощью jquery, мы не хотим, чтобы токен отправлялся по запросам jsonp или CORS. Это может быть верно и для абсолютных URL, но относительный гарантированно будет одним доменом.
@WillD Мне понравилось ваше решение, но я был вынужден немного его изменить. Поскольку вы выбираете $.ajaxSetup для определения общего beforesend событий beforesend отправкой, может случиться так, что вы перезапишете его. Я нашел другое решение, где вы можете добавить второй обработчик, который также будет вызываться. Работает хорошо и не нарушает вашу реализацию.
У кого-нибудь есть ASP.net 5 версия клиента, проверяющая атрибут AntiForgery? Эта версия не компилируется в последней версии!
После многих часов экспериментирования с публикацией jQuery AJAX со страницы MVC (Razor) это был самый простой ответ из всех, которые у меня работали. Просто включите ваши собственные поля данных (или, я полагаю, viewModel) после токена как новый фрагмент данных (но внутри исходного объекта данных).
Как бы я это реализовал, если бы функция AJAX была на странице .html, а не на странице Razor?
Если ваша html-страница не имеет сервера, поставляемого AntiForgeryToken это все AntiForgeryToken будет спорным. Если это произойдет (не уверен, как вы получаете один в этом случае, но при условии, что вы), то вышеописанное будет работать просто отлично. Если вы пытаетесь создать простую веб-страницу, которая будет отправлять запрос на сервер, ожидающий указанный токен, и сервер не сгенерирует указанную страницу, то вам не повезло. В этом и заключается смысл AntiForgeryToken ...
Этот пост длиной в милю! Я уверен, что это здорово, но д-р
Слишком плохо, потому что это хорошо покрывает предмет. Он не только говорит вам, как использовать функцию, но и объясняет, какую проблему она исправляет, и дает вам контекст, чтобы понять, как правильно ее использовать. Что касается безопасности, я думаю, что глубокое понимание важно.
Если это важно, это должно быть написано так, чтобы поощрять людей читать это;)

JeremyWeir · Accepted Answer · 2010-11-02T01-48-00.000Z

225

Лучший ответ

Я использую простую функцию js, подобную этой

AddAntiForgeryToken = function(data) {
    data.__RequestVerificationToken = $('#__AjaxAntiForgeryForm input[name=__RequestVerificationToken]').val();
    return data;
};

Так как каждая форма на странице будет иметь одинаковое значение для токена, просто поместите что-то вроде этого на самую верхнюю главную страницу

<%-- used for ajax in AddAntiForgeryToken() --%>
<form id="__AjaxAntiForgeryForm" action="#" method="post"><%= Html.AntiForgeryToken()%></form>

Затем в вашем вызове ajax do (отредактировано в соответствии с вашим вторым примером)

$.ajax({
    type: "post",
    dataType: "html",
    url: $(this).attr("rel"),
    data: AddAntiForgeryToken({ id: parseInt($(this).attr("title")) }),
    success: function (response) {
        // ....
    }
});

JeremyWeir 02 нояб. 2010, в 01:48

6

Хорошо, мне нравится инкапсуляция извлечения токена.
jball 02 нояб. 2010, в 01:18
0

Да, это хорошо, потому что вы часто делаете посты в ajax, у вас даже нет формы на странице, чтобы получить токен от
JeremyWeir 02 нояб. 2010, в 01:21
0

@jayrdub: спасибо за ваш ответ! Где я должен разместить маленькую функцию JS? Я поместил в js-файл с общей функцией и на главной странице, но Chrome выдает ошибку при его использовании. Там написано « Unexpected token ( см. Мой вопрос, чтобы узнать, как я его использую.
Lorenzo 02 нояб. 2010, в 01:50
2

@Lorenzo, поместите ваши пользовательские данные в вызов AddAntiForgeryToken , например: data: AddAntiForgeryToken({ id: parseInt($(this).attr("title")) }),
jball 02 нояб. 2010, в 02:15
0

да, что сказал @jball
JeremyWeir 02 нояб. 2010, в 02:34
0

Хорошо. Большое спасибо!!! Работает без проблем :)
Lorenzo 02 нояб. 2010, в 15:14
0

Джей, хороший. полезная универсальная реализация. работал над краями чего-то (менее приятного) довольно долгое время.
jim tollan 10 апр. 2011, в 12:45
0

@JeremyWeir Какова цель передачи id в AddAntiForgeryToken()
ta-run 27 фев. 2013, в 09:58
0

Это всего лишь пример того, как объединить токен защиты от подделки в любой объект данных, который вы хотите отправить. Ничего особенного в этом нет, это просто соответствует примеру ОП.
JeremyWeir 27 фев. 2013, в 18:09
0

Что касается приведенного выше комментария, когда я его реализовал, в моем URL уже были параметры (например, / action / id = 444), поэтому я просто ничего не передавал в AddAntiForgeryToken ({}), и он работал нормально для меня.
James in Indy 21 май 2013, в 17:28
2

Насколько плоха была бы идея использовать ajaxSend или переопределить ajax чтобы всегда дополнять data токеном против подделки? Может быть, добавив некоторые проверки, чтобы убедиться, что url предназначен для вашего сервера.
ta.speot.is 04 июль 2013, в 06:14
1

Будьте осторожны, если вы используете выходной кеш.
Barbaros Alp 02 нояб. 2014, в 18:36
0

что происходит, когда я делаю второй запрос AJAX на той же странице без перезагрузки? не будет ли токен недействительным тогда?
Souhaieb Besbes 28 дек. 2015, в 09:08
1

@SouhaiebBesbes токен проверки должен быть одинаковым для пользователя на всех страницах (он работает в сочетании с установленным файлом cookie и остается таким же). Таким образом, не имеет значения, если есть несколько запросов на страницу, все равно будет, если базовая страница перезагрузится в любом случае.
JeremyWeir 28 дек. 2015, в 10:58
0

@ JeremyWeir спасибо, получается, я неправильно понял, как работают эти токены
Souhaieb Besbes 28 дек. 2015, в 11:07
0

это не будет работать с выходной кэш на вашей странице
sqlnewbie 04 фев. 2016, в 19:16
0

@sqlnewbie true, в зависимости от конфигурации выходного кэша. Кэширование одного и того же вывода для разных пользователей, безусловно, является распространенным явлением, но можно использовать кэш вывода для одного и того же пользователя.
JeremyWeir 05 фев. 2016, в 20:56
0

@JeremyWeir Форма обязательна или вы можете просто сделать: @ Html.AntiForgeryToken () на странице? В моем случае моя страница содержит только список продуктов в сетке, но я делаю удаление с помощью запроса AJAX, поэтому мне нужен токен, но я не хочу добавлять пустую форму на мою страницу, если в этом нет необходимости.
Blake Rivell 17 апр. 2016, в 23:04
1

@BlakeRivell Я сомневаюсь, что это необходимо для его работы, форма, чтобы сохранить HTML действительным.
JeremyWeir 18 апр. 2016, в 23:36
0

Почему он не добавлен в заголовок? Есть ли предпочтительный способ?
Murphybro2 22 нояб. 2017, в 11:11

Показать ещё 18 комментариев