22

我一直在研究如何在 SO 上执行此操作的示例,据我所知,我已经尝试了所有我能找到的示例,但到目前为止都没有成功。我已经尝试将一些实现更改为我的场景,但到目前为止这也失败了。

我在 _layout.cshtml 的页面上有这个,所以我总是有一个可用的令牌:

<form id="__AjaxAntiForgeryForm" action="#" method="post"> @Html.AntiForgeryToken()</form>

我的 JavaScript utils 文件中也有这个方法:

AddAntiForgeryToken = function (data) {
    data.__RequestVerificationToken = $('#__AjaxAntiForgeryForm input[name=__RequestVerificationToken]').val();
    return data;
};

这一切都按预期工作,我得到了一个防伪令牌。我的实际发布代码是:

myPage.saveData = function() {
    var saveUrl = '/exercises/PostData';

    var myData = JSON.stringify(myPage.contextsArrays);

    $.ajax({
        type: 'POST',
        async: false,
        url: saveUrl,
        data: AddAntiForgeryToken({ myResults: myData }),
        success: function () {
            alert('saved');
        },
        dataType: 'json',
        contentType: "application/json; charset=utf-8"
    });
};

我的操作方法如下所示:

    [HttpPost, ValidateAntiForgeryToken, JsonExceptionFilter]
    public JsonResult PostData(List<ResultsDc> myResults)
    {
        return Json(_apiClient.SubmitResults(myResults));
    }

我一直在使用我一直在尝试的各种实现对此进行测试,并且响应始终是:

{"errorMessage":"The required anti-forgery form field \"__RequestVerificationToken\" is not present."}

我没有发布一个表单,它只是一个数据数组,而是检查实际发布的数据,Json 看起来不正确(它都是编码的)但是 __RequestVerificationToken 参数名称在那里并且令牌值也存在。

目前我对这一切感到很困惑,找不到发送令牌的正确方法,以便调用我的 MVC 操作。如果我删除该ValidateAntiForgeryToken属性并将其JSON.stringify(myPage.contextsArrays);作为数据,则 json 看起来是正确的(未编码)并且映射得很好。

如何在没有表格的情况下正确发布此令牌?

4

3 回答 3

35

纸板开发商再次罢工。

我所要做的就是删除:

contentType: "application/json; charset=utf-8"

并且通过这样做(这会改变发出请求的类型),以获取实际数据属性的 Json 内容以正确绑定到您的T模型类型,而不是 JSON.stringify()数据。

于 2013-07-25T12:47:56.850 回答
17

(注意:我知道这与这里已经存在的并没有太大的不同)

我意识到这已经得到了回答,但我已经做了很多,并将我的答案添加到堆中。我的站点中没有表单,所以我必须想出办法来处理这个问题。很多关于 stackoverflow 的研究和一些博客最终给了我我需要的信息。

首先,这是我的“主”页面(MVC Razor)顶部的代码:

@using (Html.BeginForm(null, null, FormMethod.Post, new { id = "__AjaxAntiForgeryForm" }))
{
    @Html.AntiForgeryToken()
}

然后,在所有 ajax 调用 (jQuery) 中,我开始这样:

var token = $("#__AjaxAntiForgeryForm input").val();
var dataObject = {
  __RequestVerificationToken: token,
  myData: "whatever"
};

$.ajax({
  url: '@Url.Action("action", "controller")',
  type: 'POST',
  dataType: 'json',
  data: dataObject,
  error: function (jqXHR, textStatus, errorThrown) {
    console.log("ERROR!");
  },
  success: function (data) {
    //whatever
  }
});

最后,在控制器方面,这很好用:

public class controllerController : Controller
{
    [HttpPost]
    [ValidateAntiForgeryToken]
    public JsonResult action (myModel myData)
    {
        return Json(new { Success = "true" }, JsonRequestBehavior.DenyGet);
    }
}

希望这会帮助同一条船上的其他人。

于 2014-10-30T17:02:40.667 回答
1

验证被硬编码以查看表单数据。

https://aspnetwebstack.codeplex.com/SourceControl/latest#src/System.Web.WebPages/Helpers/AntiXsrf/AntiForgeryTokenStore.cs

    public AntiForgeryToken GetFormToken(HttpContextBase httpContext)
    {
        string value = httpContext.Request.Form[_config.FormFieldName];

您可以通过遵循某种格式来模拟表单提交。为此,请参阅如何在 POST 请求中模拟 HTML 表单提交?

如果你愿意,你也可以制作自己的验证器。How to POST JSON data to an Asp.Net MVC 2 app with ValidateAntiForgeryToken解释了如何做到这一点。它适用于 MVC 2,但您可以从中获得一些想法。

于 2013-07-25T12:38:35.410 回答