11

我刚刚通过修改默认登录表单使用简单的 ASP.NET MVC 3 示例进行了快速测试。根据这篇文章,隐藏字段__RequestVerificationToken和 cookie__RequestVerificationToken_Lw__必须包含与生成的相同的值Html.AntiForgeryToken()。但是当我在 Fiddle 中得到它们时并不完全相同,顺便说一下,查看 MVC 3 源代码,方法GetAntiForgeryTokenAndSetCookie似乎没有使用盐值来生成 cookie。MVC 3 有什么变化吗?

忘了说我仍然可以使用普通或 Ajax POST 请求成功登录。

这是来自 Fiddle 的原始日志:

POST http://localhost:51713/Account/LogOn HTTP/1.1
Referer: http://localhost:51713/Account/LogOn
Content-Length: 256
Origin: http://localhost:51713
X-Requested-With: XMLHttpRequest
Content-Type: application/x-www-form-urlencoded
Cookie: __RequestVerificationToken_Lw__=OIRtVqUvNt/LfDGeoVy3W1VhdKN7MwdbUZmRNScz4NqS4uV0I0vQH2MHg77SsVhcinK5SJi9mVcdBUWk2VMiPTk8EMUN2Zq0X4ucK8XQ3/zr6NoiIvVF73Bq8ahbFaY/IrNrWY7mmzvO9j/XVLNN2lNqgCd6I3UGZAw3/nlOmpA=

__RequestVerificationToken=zeDS%2F8MZE%2BLf%2FrRhevwN51J7bOE3GxlGNLQc8HogwFctF7glU1JboHePTTHa5YFe9%2FD2sY7w167q53gqvcwYZG1iZeecdnO4fdg6URdR4RUR%2BjIgk1apkXoxQ2xg48REfv4N5D4SHKU4MAf30Diy0MVyyF9N2Dl7uUGT6LbKHZU%3D&UserName=Tien&Password=tien&RememberMe=false
4

2 回答 2

5

是什么让你认为它们应该是一样的?:) 当然,它们必须在某种程度上具有可比性,但这并不意味着它们的序列化形式必须看起来相同。有一组不同的数据序列化为 cookie(我认为只有“盐”和令牌)和 HTML 标记(盐、令牌、创建时间、用户名)。

如果您对细节感兴趣,请使用 ILSpy 并查找System.Web.Mvc.AntiForgeryDataSerializer,System.Web.Mvc.AntiForgeryDataOnAuthorization方法System.Web.Mvc.ValidateAntiForgeryTokenAttribute

于 2011-09-08T11:11:00.457 回答
1

您在问题中引用的文章是完全错误的,因为隐藏字段防伪令牌永远不会与防伪 cookie 值相同。

我的答案的附加价值是指向描述 ASP.NET 防伪令牌内部的有趣文章的链接。除其他外,它提供了解码和解密 cookie/表单令牌的清晰步骤:

BitConverter.ToString(System.Web.Helpers.AntiXsrf.MachineKey45CryptoSystem.Instance.Unprotect(tokenValue))

...以及后续步骤以匹配 cookie 和表单标记。

于 2015-09-30T21:27:04.300 回答