asp.net-mvc C 在一个页面中以两种不同的形式使用多个@ Html.AntiForgeryToken()是否可

发布时间：2023-12-21 16:30:36 所属栏目：asp.Net 来源：DaWei

导读： 我一直面临严重的问题@
Html.AntiForgeryToken().我有一个注册控制器,创建/注册新成员.因此,我使用@ Html.AntiForgeryToken(),而不在我的主提交表单中使用任何SALT.现在我想验证用户名,如

我一直面临严重的问题@ Html.AntiForgeryToken().我有一个注册控制器,创建/注册新成员.因此,我使用@ Html.AntiForgeryToken(),而不在我的主提交表单中使用任何SALT.现在我想验证用户名,如果它已经存在于我的用户名文本框的blur事件的数据库上.对于这个验证,我写了一个名为“验证”的新控制器,并写了一个常量验证SALT的方法： [HttpPost] [ValidateAntiForgeryToken(Salt = @ApplicationEnvironment.SALT)] public ActionResult username(string log) { try { if (log == null || log.Length < 3) return Json(log,JsonRequestBehavior.AllowGet); var member = Membership.GetUser(log); if (member == null) { //string userPattern = @"^([a-zA-Z])[a-zA-Z_-]*[w_-]*[S]$|^([a-zA-Z])[0-9_-]*[S]$|^[a-zA-Z]*[S]$"; string userPattern = "[A-Za-z][A-Za-z0-9._]{3,80}"; if (Regex.IsMatch(log,userPattern)) return Json(log,JsonRequestBehavior.AllowGet); } } catch (Exception ex) { CustomErrorHandling.HandleErrorByEmail(ex,"Validate LogName()"); return Json(log,JsonRequestBehavior.AllowGet); } //found e false return Json(log,JsonRequestBehavior.AllowGet); }

方法工作正常我没有[ValidateAntiForgeryToken]检查HTTP Get注释,并给我预期的结果.

我已经google了,并且检查了许多给定的解决方案,没有一个这样的工作.对于我的验证控制器,我在同一个页面中使用了另一个表单,并在防伪令牌中使用了一个SALT.

例：
主要提交表单的防伪令牌：

@using (Html.BeginForm(“Create”,“Register”)) {
@Html.AntiForgeryToken()
@Html.ValidationSummary(true) … }

第二个防伪令牌：

<form id="__AjaxAntiForgeryForm" action="#" method="post"> @Html.AntiForgeryToken(SALT) </form>

在javascript中我使用了这个

在我的火焰中,我得到了：

log=admin&__RequestVerificationToken=NO8Kds6B2e8bexBjesKlwkSexamsruZc4HeTnFOlYL4Iu6ia%2FyH7qBJcgHusekA50D7TVvYj%2FqB4eZp4VDFlfA6GN5gRz7PB%2ByZ0AxtxW4nT0E%2FvmYwn7Fvo4GzS2ZAhsGLyQC098dfIJaWCSiPcc%2FfD00FqKxjvnqmxhXvnEx2Ye83LbfqA%2F4XTBX8getBeodwUQNkcNi6ZtAJQZ79ySg%3D%3D

通过,但在cookie部分我有一个不同于传递的cookie：
实际Cookie：

ws5Dt2if6Hsah rW2nDly P3cW1smIdp1Vau 0TXOK1w0ctr0BCso/nbYu w9blq/QcrXxQLDLAlKBC3Tyhp5ECtK MxF4hhPpzoeByjROUG0NDJfCAlqVVwV5W6lw9ZFp/VBcQmwBCzBM/36UTBWmWn6pMM2bqnyoqXOK4aUZ4=

我认为这是因为我在一页中使用了2个防伪令牌.但在我看来,我应该使用2,因为第一个是生成提交发生,下一个需要验证验证.然而,这是我的猜测,我认为我错了,因此我需要你们的帮助.

任何人都可以解释我应该用两个防伪还是一个的事实？

先谢谢大家….

解决方法最后8个小时的奋斗给了我一个解决方案.

首先,首先,是的,在页面上使用2个防伪令牌是没有害处的.第二,不需要将Cookie与提供令牌相匹配.提供令牌将始终不同,并将在服务器中进行验证.

如果我们使用[HttpGet]动作动词,反伪造币不起作用.因为在反伪造的验证过程中,令牌通过从请求中检索Request.Form [‘__ RequestVerificationToken’]值来验证.参考：Steven Sanderson’s blog: prevent cross…

解决方案：

我修改控制器：

[HttpPost] [ValidateAntiForgeryToken(Salt = @ApplicationEnvironment.SALT)] //change the map route values to accept this parameters. public ActionResult username(string id,string __RequestVerificationToken) { string returnParam = __RequestVerificationToken; try { if (id == null || id.Length < 3) return Json(returnParam,JsonRequestBehavior.AllowGet); var member = Membership.GetUser(id); if (member == null) { //string userPattern = @"^([a-zA-Z])[a-zA-Z_-]*[w_-]*[S]$|^([a-zA-Z])[0-9_-]*[S]$|^[a-zA-Z]*[S]$"; string userPattern = "[A-Za-z][A-Za-z0-9._]{3,80}"; if (Regex.IsMatch(id,userPattern)) return Json(returnParam,"Validate LogName()"); return Json(returnParam,JsonRequestBehavior.AllowGet); } //found e false return Json(returnParam,JsonRequestBehavior.AllowGet); }

我的第一张表格在同一页：

@using (Html.BeginForm("Create","Register")) { @Html.AntiForgeryToken(ApplicationEnvironment.SALT) @Html.ValidationSummary(true) .... }

我的第二张表格在同一页：

**<form id="validation">  @Html.AntiForgeryToken(ApplicationEnvironment.SALT) <input type="hidden" name="id" id="id" value="" /> </form>**

我的jQuery来解决这个问题：

$("#LogName").blur(function () { var user = $("#LogName").val(); var logValidate = "/Validation/username/"; $("#validation #id").val(user); **var form = $("#validation").serialize(); // a form is very important to verify anti-forgery token and data must be send in a form.** var token = $('input[name=__RequestVerificationToken]').val(); $.ajax({ **type: "POST",//method must be POST to validate anti-forgery token or else it won't work.** dataType: "JSON",data: form,success: function (response) { alert(response); } }); });

（编辑：商洛站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!