0

我已经在 Orchard Modules 中成功使用 AntiForgery 选项和 Ajax 有一段时间了。最近,我一直想改变使用默认的 ContentType = 'application/x-www-form-urlencoded; charset=UTF-8' 到 JSON 有效负载 (ContentType='application/JSON')。

一旦我这样做,我就会得到 ASP.NET 抛出的异常“未提供所需的防伪令牌或无效。”。好的,但是如何在保留 JSON 有效负载的同时添加 __RequestVerificationToken 呢?

作为参考,这是我正在使用的代码:

    var config = {
        url: url,
        type: "POST",
        data: data ,
        dataType: "json",
        contentType: "application/json; charset=utf-8"
    };
    $.ajax(config);

控制器(在到达此处之前显示“未提供所需的防伪令牌或无效。”):

    [HttpPost]
    public ActionResult Update(ShoppingCartItemVM[] items)
    {
       // do stuff
    }

这是 Orchard AntiForgery 包装器或 MVC AntiForgery 功能的限制吗?还是我(再次)愚蠢?

4

2 回答 2

2

季斯卡是正确的。我会深入一点。

注意:只有果园管理员的“post”结果需要防伪令牌。因此,无需记住在 json 请求中使用“Get”的位置。

通常你会想要发送比请求令牌更多的数据。在这种情况下,您随请求发送的“数据”对象必须包含该 __RequestVerificationToken 值。在这种情况下,jQuery 很有用,例如:

var defaultPostValues = { __RequestVerificationToken:'@Html.AntiForgeryTokenValueOrchard()', id: 1, ..etc.. };
var myValues = { answers: [1,5,5,10] };
var data = $.extend({}, defaultPostValues, myValues); 

var config = {
    url: url,
    type: "POST",
    data: data ,
    dataType: "json",
    contentType: "application/json; charset=utf-8"
};
$.ajax(config);

也可以根据模块定义关闭防伪令牌(如果我没记错的话?)。模块.txt

Name: Polls
AntiForgery: false
Author: Matt
... removed for brevity 
Features:
    Polls
... etc

但是,如果您的调用在 Orchard 的模块中,我建议使用防伪,并且当且仅当外部请求需要您的数据时才禁用。但我会推荐 Orchard 中的 WebAPI 用于这种情况,但这会创建一个全新的故事,并且可能会超出范围。

于 2012-09-20T12:56:44.170 回答
0

也许试试这个:

​data = {color: 'red', weight:'20lbs'};

// do some more work...

// Append the anti-forgery token to the POST values: 
data['__RequestVerificationToken'] = '@Html.AntiForgeryTokenValueOrchard()';

// Make the .ajax() call: 
var config = {
    url: url,
    type: "POST",
    data: data ,
    dataType: "json",
    contentType: "application/json; charset=utf-8"
};
$.ajax(config);

如果您在剃刀视图以外的地方形成 json,您可以@Html.AntiForgeryTokenValueOrchard()在剃刀视图内部进行操作并将其传递给 javascript 对象或变量,以便您可以通过 javascript 将其添加到 json。

编辑:除了 Matthew 发布的方法之外,您还可以在不使用 .extend() 的情况下进行 AJAX 调用之前将防伪标记附加到 POST 值。示例:http: //jsfiddle.net/JC66L/

于 2012-09-20T01:28:57.433 回答