使用ASP.NET Core和JQuery启用防伪令牌
我将JQuery与ASP.NET Core 1.0.1一起使用,并且我有Ajax调用:
$("#send-message").on("submit", function (event) {
event.preventDefault();
var $form = $(this);
$.ajax({
url: "api/messages",
data: JSON.stringify($form.serializeToJSON()),
dataType: "json",
headers: {
Accept: "application/json",
"Content-Type": "application/json"
},
type: "post"
})
.done(function (data, status, xhr) { })
.fail(function (xhr, status, error) { });
对ASP.NET Core的操作:
[HttpPost("messages")]
public async Task<IActionResult> Post([FromBody]MessagePostApiModelModel model) {
// Send message
}
该表单处于共享视图中,如下所示:
<form id="send-question" method="post">
<textarea name="content"></textarea>
<button class="button" type="submit">Enviar</button>
</form>
提交表单时出现错误:
Microsoft.AspNetCore.Antiforgery.AntiforgeryValidationException: The required antiforgery header value "RequestVerificationToken" is not present.
如何通过JQuery Ajax调用启用ASP.NET Core的AntiForgeryToken?
更新
我需要在表单中添加以下asp-controller和asp-action:
<form asp-controller="QuestionApi" asp-action="Post" id="send-question" method="post">
</form>
这将生成防伪令牌。我需要手动将令牌添加到JQuery调用的标头中,如下所示:
headers: {
"Accept": "application/json",
"Content-Type": "application/json",
"RequestVerificationToken": $form.find("input[name='af_token']").val()
},
有一个更好的方法吗?
当没有表单并且我只有一个A标记,单击该标记可以进行Ajax调用时,该如何解决?我可以在页面头上生成一个通用的防伪令牌,以供该页面上的所有ajax调用使用吗?
问题答案:
mode777的答案只需要添加一点即可完成此工作(我尝试过):
$(document).ajaxSend(function(e, xhr, options) {
if (options.type.toUpperCase() == "POST") {
var token = $form.find("input[name='af_token']").val();
xhr.setRequestHeader("RequestVerificationToken", token);
}
});
实际上,如果您还使用Ajax提交,则根本不需要使用表单。将其放在您的_layout中:
<span class="AntiForge"> @Html.AntiForgeryToken() </span>
然后,将令牌添加到您的javascript中以提取令牌:
$(document)
.ajaxSend(function (event, jqxhr, settings) {
if (settings.type.toUpperCase() != "POST") return;
jqxhr.setRequestHeader('RequestVerificationToken', $(".AntiForge" + " input").val())
})
@HtmlAntiForgeryToken生成带有防伪令牌的隐藏输入字段,与使用表单时相同。上面的代码使用类选择器选择范围来找到它,然后获取其中的输入字段以收集令牌并将其添加为标头。
-
我对防伪令牌有一个问题:(我创建了自己的用户类,该类工作正常,但现在每当我转到/Account/Register页面时,我都会收到一个错误。错误是: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier或http://schemas.microsoft.com/accesscontrolservice/2010/0
-
问题内容: 我想为基于Struts 1.x框架的Web应用程序实施跨站点请求伪造预防。我知道struts 2框架为此提供了令牌拦截器,并且可以使用过滤器实现类似的功能。 我对一些想法感到困惑1)如何以简单的方式生成唯一令牌?(我可以为此目的使用Action类令牌来避免重复提交表单) 将struts 1.x框架令牌机制用于CSRF预防是否存在任何问题 问题答案: Struts 1 Action令牌方
-
问题内容: 我对MVC项目的以下详细信息有疑问。 当我尝试将jquery ajax请求与加载面板(例如旋转gif(甚至文本))一起使用时,从提琴手观察到我收到错误消息 所需的反伪造表单字段“ __RequestVerificationToken”不存在。 如果我 在POST动作方法上发表评论 并使用加载面板,它工作正常,我想知道为什么会收到此错误。 我什至使用了查询字符串 还是我出错了 防伪令牌无
-
本文向大家介绍ASP.NetCore使用Swagger实战,包括了ASP.NetCore使用Swagger实战的使用技巧和注意事项,需要的朋友参考一下 踩坑不背锅,.NET Core 试深浅 关于Swagger什么是swagger所带来的帮助 使用Swagger 关于Swagger 什么是swagger 使人和计算机在看不到源码或者看不到文档或者不能通过网络流量检测的情况下能发现和理解各种服务的功
-
本文向大家介绍Opencart启用Rewrite伪静态,包括了Opencart启用Rewrite伪静态的使用技巧和注意事项,需要的朋友参考一下 Opencart安装完成后默认是不开启伪静态的,如果要开启需要手动过进行两步配置,如下。 1 后台开启 登录 Opencart 后台,选择面板 System > Settings,在 Store List 中点击商店后的“Edit”按钮,配置 Server
-
我收到以下错误: {“类型的声明”http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier“或者”http://schemas.microsoft.com/accesscontrolservice/2010/07/claims/identityprovider“在所提供的索赔中不存在。要使用基于声明的身份验证启用防伪令