gpt4 book ai didi

c# - ValidateAntiForgeryToken 过滤器不起作用

转载 作者:太空宇宙 更新时间:2023-11-03 16:59:03 28 4
gpt4 key购买 nike

我创建了两个项目,假设是 projectA 和 projectB。

现在在项目 A 中,我创建了以下操作方法。

    [HttpPost]
[ValidateAntiForgeryToken]
public ActionResult Index(Employee employee)
{
return View();
}

而且,这个 Action 方法有一个 View Index.cshtml,它有一个表单和

@Html.AntiForgeryToken() in form tag.

现在在项目 B 中,我已经创建了一个操作方法和一个 View 。

这个 View 有一个带有 Action 的表单

projectA/Home/Index

还有,

@Html.AntiForgeryToken() helper.

现在的问题是,当我从项目 B 提交表单时,它命中了项目 A 的操作方法。

为什么会这样?我在这里缺少什么?

最佳答案

最近.Net 中的 token 生成和验证相对复杂。它基于将 cookie 与发布值进行比较,但不是那么简单,这两者并不相同。

System.Web.Helpers.AntiXsrf.TokenValidator 比较AntiForgeryToken中的SecurityToken。但是,它都是加密的,并且还包含其他字段,例如用户名。如果你在同一台机器上运行,使用相同的加密 key ,并且在同一个域中,它仍然可以工作。但是,cookie 名称还编码了应用程序路径。因此,当您从一个应用程序发布到另一个应用程序时,cookie 名称将不匹配,并且验证将不起作用。

对此的一种解决方案是将 AntiForgeryConfig.CookieName 设置为相同的值。虽然它可以与同一台机器上的应用程序(使用相同的 key )和相同的域一起使用,但我认为这不是一个好的做法,因为它在任何其他情况下都不起作用。您可以在不同的计算机上将 key 设置为相同的(这在安全方面已经不是好的做法),但 cookie 不会发送到不同的域。

关于c# - ValidateAntiForgeryToken 过滤器不起作用,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/51298538/

28 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com