1

在我的 ASP.NET Core 2 WebAPI 应用程序中,我想将 AntiforgeryToken 用于我的 POST、PUT 和 DELETE 控制器方法。Reagrding to this documentation我设置了我的班级的ConfigureServicesConfigure方法。Startup在客户端,我使用 Angular 5 及其 Antiforgery 的默认配置。我无法弄清楚问题出在哪里。

这是我的 Startup.cs 的摘录

public void ConfigureServices(IServiceCollection services)
{
    // ...
    services.AddAntiforgery(options =>
    {
        options.Cookie.Name = "XSRF-TOKEN";
        options.HeaderName = "X-XSRF-TOKEN";
        options.FormFieldName = "F-XSFR-TOKEN";
    });
    // ...
}

public void Configure(IApplicationBuilder app, IHostingEnvironment env, ILoggerFactory loggerFactory, IServiceProvider provider, ILogger<Startup> logger, IAntiforgery antiforgery)
{
    // ...
    app.Use(async (context, next) =>
    {
        var tokens = antiforgery.GetAndStoreTokens(context);
        context.Response.Cookies.Append("XSRF-TOKEN", tokens.RequestToken, new CookieOptions() { HttpOnly = false });
        await next();
    });
    // ...
}

我的控制器都是这样的:

[Authorize]
[Route("api")]
public class CarController : Controller
{
    #region Variables
    private readonly DataContext _db;
    private ILogger<CarController> _logger;
    #endregion

    #region Constructor
    public CarController(DataContext db, ILogger<CarController> logger)
    {
        _db = db;
        _logger = logger;
    }
    #endregion

    #region Methods
    [AllowAnonymous]
    [HttpGet("[controller]")]
    public IActionResult Get()
    {
        try
        {
            return Ok(_db.Cars);
        }
        catch (Exception ex)
        {
            _logger.LogError(ex.GetHashCode(), ex, ex.Message);
            return BadRequest(ex);
        }
    }

    [HttpPost("[controller]")]
    [ValidateAntiForgeryToken]
    public async Task<IActionResult> Post([FromBody] CreateCar model)
    {
        try
        {
            // Creates a new car.
        }
        catch (Exception ex)
        {
            _logger.LogError(ex.HResult, ex, ex.Message);
            return StatusCode(500, ex);
        }
    }

    [HttpPut("[controller]/{id}")]
    [ValidateAntiForgeryToken]
    public async Task<IActionResult> Put(int id, [FromBody] UpdateCar model)
    {
        try
        {
            // Updates a car
        }
        catch (Exception ex)
        {
            _logger.LogError(ex.HResult, ex, ex.Message);
            return StatusCode(500, ex);
        }
    }
    #endregion
}
4

1 回答 1

2

我遇到了同样的问题,我想我找到了问题。

TLDR: options.Cookie.Name = "ASP-XSRF-TOKEN";

options.Cookie.Name中的必须AddAntiforgery 您使用手动设置的 cookie不同context.Response.Cookies.Append

尝试更改其中一个的名称,它将起作用。现在,您覆盖使用options.Cookie.Name名称和tokens.RequestToken值的生成 cookie。

您可以注意到开发人员工具中的差异。

  • 使用生成的默认令牌options.Cookie.Name标记为http only( HttpOnly = true)
  • 使用的手动附加令牌context.Response.Cookies.Append标记为HttpOnly = false

第二个是从 JS/Angular 中读取的(您可以在 JS 中读取它,因为HttpOnly=falseand 作为 ajax 请求中的标头发送,并针对无法从 JS 读取的默认值进行验证)

于 2018-04-21T08:21:21.180 回答