问题标签 [antiforgerytoken]

我想在 MVC 页面上创建将生成类似这样的动态表单。

我只是不确定如何在上面的东西上实现 AntiForgeryToken？！？任何帮助，将不胜感激

我在正常使用过程中偶尔会遇到这个错误，我还没有找到一种方法来阻止它而不删除需要令牌的属性，我宁愿不这样做。

我在自己的测试中遇到了这个错误（但似乎是随机的），我从我的日志中知道实际登录的用户也得到了它。

有谁知道什么会导致 antiforgerytoken 系统崩溃（除了真正的攻击），以及如何在不打开表单安全漏洞的情况下解决这个问题？

谢谢！

我对 MVC Anti forgery 令牌有疑问。当我进行身份验证时，我有这样的伪代码：

通过这样做，我可以像这样在我的代码中获取当前用户：

在我将 [ValidateAntiForgeryToken] 属性添加到操作之前，这可以正常工作。当我添加我得到的属性

所需的防伪令牌未提供或无效。

如果我注释掉这一行：

防伪验证工作正常，但我没有方便的方法从 HttpContext 获取我的“EntityUser”。关于如何解决这个问题的任何想法？最好的问候米凯尔

我正在使用如下代码：

首先，我将使用控制器操作的正确值填充一个数组变量。

使用下面的代码，我认为只需在 JavaScript 代码中添加以下行就应该非常简单：

是在正确的<%= Html.AntiForgeryToken() %>位置，并且动作有[ValidateAntiForgeryToken]

但我的控制器动作一直说：“无效的伪造令牌”

我在这里做错了什么？

代码

我在几个 MVC 应用程序中遇到了一个我以前没有注意到的奇怪错误；它发生在我的应用程序中（全面），当我尝试运行最新的 Orchard drop 时也发生了（所以我知道这不仅仅是我的代码）。

基本上，问题是我得到了在未提供 AntiforgeryToken 时应该抛出的异常，但这是预期的，只有当我点击 GET 操作时才会得到它；我第一次访问一个页面。

当我重建应用程序或重新部署它时，我已经追踪到这种行为。例如，我在本地 IIS 服务器上运行我的站点，然后将设置更改为在 Cassini 中运行（显然是在中间重建等），我得到了错误。当我废弃一个 Orchard 网站并重建它（在同一个 VS 中）时也是如此。当我重新部署我在网络上的网站时也是如此。

我找到的解决方案是清除我的浏览器 cookie，但是在对端点执行 GET 时遇到该错误似乎很奇怪，或者我错过了什么？

我正在使用 jQuery 将 ($.post) 发布到控制器操作并返回 JSON 结果。

如果有任何错误，我将返回带有 JSON 结果的错误消息，并使用模式将其显示给用户。

但是，我在拦截 AFT 异常时遇到了很多麻烦。

而不是抛出 500，我只想获取错误消息并将结果发送回用户。

...而且，如果我只是尝试处理错误，我无法弄清楚如何阻止它取消操作方法的执行

我正在开发一个 httphandler 来处理 Web 表单中的一些请求（不在 MVC 中）。
我如何实现反跨站点脚本（如 MVC 中的防伪）？
我想了解 MVC 中的防伪机制。

我使用 asp.net + MVC1.0 并且在网页中我有几个表单，在每个表单中我调用了以下函数 AntiForgeryToken() 来生成隐藏值，并且在控制器函数中我有一个 validate 属性。

当我使用 JMeter 并使用正则表达式捕获令牌然后将令牌与我的表单一起发布到服务器时，我发现它抛出了这样的异常：

而且我确定捕获的令牌与我们生成的完全一样，为什么会发生这个异常？

使用ASP.Net MVC v2.0，我开始研究Html.AntiForgeryToken()提交处理数据的表单时该方法的使用。我可以看到它在 HTML 表单中设置了一个隐藏值，并在会话 cookie 中设置了相同的值。

问题是负载平衡配置中的不同 Web 服务器会在 HTML 表单中创建相同的令牌吗？似乎如果他们不这样做，那么 cookie 和隐藏表单值将不匹配，我们就会遇到问题。在我开始在 LB 配置中实际测试它之前，想检查是否有人已经有这方面的经验？

谢谢，保罗

使用 ASP.net MVC v2.0，有什么方法可以更改__RequestVerificationTokencookie 的名称？为了隐藏我们的底层技术堆栈，我想将 cookie 重命名为无法追溯到 ASP.Net MVC 的东西。

更多信息请访问Steve Sanderson 的博客。