是否有可能/右在2组不同的形式使用多个@ Html.AntiForgeryToken()在一个页面?

2019-06-28 02:32发布

我一直面临着严重的问题@Html.AntiForgeryToken() 我有一个寄存器控制器其中有一个创建视图来创建/注册新成员。 出于这个原因我用了一个@Html.AntiForgeryToken()没有在我的主要形式提交使用任何盐。 现在我想验证用户名,如果它已经在我的用户名文本框的模糊事件的数据库上存在。 对于此验证我写了一个名为“验证”新的控制器,并写了一个方法,用不断的验证SALT:

 [HttpPost]
    [ValidateAntiForgeryToken(Salt = @ApplicationEnvironment.SALT)]
    public ActionResult username(string log) {
        try {
            if (log == null || log.Length < 3)
                return Json(log, JsonRequestBehavior.AllowGet);

            var member = Membership.GetUser(log);

            if (member == null) {
                //string userPattern = @"^([a-zA-Z])[a-zA-Z_-]*[\w_-]*[\S]$|^([a-zA-Z])[0-9_-]*[\S]$|^[a-zA-Z]*[\S]$";
                string userPattern = "[A-Za-z][A-Za-z0-9._]{3,80}";
                if (Regex.IsMatch(log, userPattern))
                    return Json(log, JsonRequestBehavior.AllowGet);
            }

        } catch (Exception ex) {
            CustomErrorHandling.HandleErrorByEmail(ex, "Validate LogName()");
            return Json(log, JsonRequestBehavior.AllowGet);
        }
        //found e false
        return Json(log, JsonRequestBehavior.AllowGet);

    }

方法是工作的罚款。 我曾与HTTP检查获取注释而不[ValidateAntiForgeryToken]它给了我预期的结果。

我用Google搜索,并检查了许多解决方案,给出没有这些的都在工作。 对于我的验证控制器我用另一种形式在同一个页面,并在防伪标记使用的盐。

例如 :主提交表格第防伪标记:

@using(Html.BeginForm( “创建”, “注册”)){@ Html.AntiForgeryToken()@ Html.ValidationSummary(真)...}

第二防伪标记:

<form id="__AjaxAntiForgeryForm" action="#" method="post">
    @Html.AntiForgeryToken(SALT)
</form> 

而在JavaScript我用这个

<script type="text/javascript" defer="defer">
    $(function () {
        AddAntiForgeryToken = function (data) {
            data.__RequestVerificationToken = $('#__AjaxAntiForgeryForm input[name=__RequestVerificationToken]').val();
            return data;
        };

        if ($("#LogName").length > 0) {

            $("#LogName").blur(function () {
                var user = $("#LogName").val();
                var logValidate = "/Validation/username/";
                //var URL = logValidate + user;
                //var token = $('#validation input[name=__RequestVerificationToken]').val();
                data = AddAntiForgeryToken({ log: user });

                $.ajax({
                    type: "POST",
                    dataType: "JSON",
                    url: logValidate,
                    data: data,
                    success: function (response) {
                        alert(response);
                    }
                });

            });

        }
    });
</script>

在我的萤火,我得到这个:

log=admin&__RequestVerificationToken=NO8Kds6B2e8bexBjesKlwkSexamsruZc4HeTnFOlYL4Iu6ia%2FyH7qBJcgHusekA50D7TVvYj%2FqB4eZp4VDFlfA6GN5gRz7PB%2ByZ0AxtxW4nT0E%2FvmYwn7Fvo4GzS2ZAhsGLyQC098dfIJaWCSiPcc%2FfD00FqKxjvnqmxhXvnEx2Ye83LbfqA%2F4XTBX8getBeodwUQNkcNi6ZtAJQZ79ySg%3D%3D

如通过,但在Cookie部分我得到了不同的Cookie,而不是通过一个:实际的Cookie:

ws5Dt2if6Hsah rW2nDly P3cW1smIdp1Vau 0TXOK1w0ctr0BCso/nbYu w9blq/QcrXxQLDLAlKBC3Tyhp5ECtK MxF4hhPpzoeByjROUG0NDJfCAlqVVwV5W6lw9ZFp/VBcQmwBCzBM/36UTBWmWn6pMM2bqnyoqXOK4aUZ4=

我想这是因为我在一个页面中使用2防伪标记。 但在我的心目中,我应该使用2,因为第一次产生了对提交发生,下一个是需要验证的验证。 然而,这是我的猜测,我想我错了,为此我需要你们的帮助。

任何人都可以请解释一下,我应该用两个防伪或一个事实?

谢谢大家....

Answer 1:

最后8小时挣扎给我一个解决方案。

首先第一件事情,是没有什么坏处的页面中使用2防伪标记。 其次是没有必要的饼干与提供的令牌相匹配。 提供令牌将永远不同,将在服务器进行验证。

如果我们使用防伪标记不起作用[HttpGet]行为动词由于防伪的验证过程中,令牌通过检索的验证.. Request.Form['__RequestVerificationToken']从请求值。 裁判: 史蒂芬·桑德森的博客:防止交叉...

解决方案

我的修改器:

[HttpPost]

        [ValidateAntiForgeryToken(Salt = @ApplicationEnvironment.SALT)]
//change the map route values to accept this parameters.
        public ActionResult username(string id, string __RequestVerificationToken) {
        string returnParam = __RequestVerificationToken;

        try {
            if (id == null || id.Length < 3)
                return Json(returnParam, JsonRequestBehavior.AllowGet);

            var member = Membership.GetUser(id);

            if (member == null) {
                //string userPattern = @"^([a-zA-Z])[a-zA-Z_-]*[\w_-]*[\S]$|^([a-zA-Z])[0-9_-]*[\S]$|^[a-zA-Z]*[\S]$";
                string userPattern = "[A-Za-z][A-Za-z0-9._]{3,80}";
                if (Regex.IsMatch(id, userPattern))
                    return Json(returnParam, JsonRequestBehavior.AllowGet);
            }

        } catch (Exception ex) {
            CustomErrorHandling.HandleErrorByEmail(ex, "Validate LogName()");
            return Json(returnParam, JsonRequestBehavior.AllowGet);
        }
        //found e false
        return Json(returnParam, JsonRequestBehavior.AllowGet);
    }

我在同一页第一种形式:

@using (Html.BeginForm("Create", "Register")) {

    @Html.AntiForgeryToken(ApplicationEnvironment.SALT)

    @Html.ValidationSummary(true)
    ....
}

我在同一个页面第二种形式:

**<form id="validation">
    <!-- there is harm in using 2 anti-forgery tokens in one page-->
    @Html.AntiForgeryToken(ApplicationEnvironment.SALT)
    <input type="hidden" name="id" id="id" value="" />
</form>**

我的jQuery来解决这件事情:

 $("#LogName").blur(function () {
            var user = $("#LogName").val();
            var logValidate = "/Validation/username/";
            $("#validation #id").val(user);
            **var form = $("#validation").serialize(); // a form is very important to verify anti-forgery token and data must be send in a form.**

            var token = $('input[name=__RequestVerificationToken]').val();

            $.ajax({
                **type: "POST", //method must be POST to validate anti-forgery token or else it won't work.**
                dataType: "JSON",
                url: logValidate,
                data: form,
                success: function (response) {
                    alert(response);
                }
            });
        });


文章来源: Is it possible/right to use multiple @Html.AntiForgeryToken() in 2 different forms in one page?