c# - ValidateAntiForgeryToken 过滤器不起作用

Question

我创建了两个项目，假设是 projectA 和 projectB。

现在在项目 A 中，我创建了以下操作方法。

    [HttpPost]
    [ValidateAntiForgeryToken]
    public ActionResult Index(Employee employee)
    {
        return View();
    }

而且，这个 Action 方法有一个 View Index.cshtml，它有一个表单和

@Html.AntiForgeryToken() in form tag.

现在在项目 B 中，我已经创建了一个操作方法和一个 View 。

这个 View 有一个带有 Action 的表单

projectA/Home/Index

还有，

@Html.AntiForgeryToken() helper.

现在的问题是，当我从项目 B 提交表单时，它命中了项目 A 的操作方法。

为什么会这样？我在这里缺少什么？

Answer 1

最近.Net 中的 token 生成和验证相对复杂。它基于将 cookie 与发布值进行比较，但不是那么简单，这两者并不相同。

System.Web.Helpers.AntiXsrf.TokenValidator 比较AntiForgeryToken中的SecurityToken。但是，它都是加密的，并且还包含其他字段，例如用户名。如果你在同一台机器上运行，使用相同的加密 key ，并且在同一个域中，它仍然可以工作。但是，cookie 名称还编码了应用程序路径。因此，当您从一个应用程序发布到另一个应用程序时，cookie 名称将不匹配，并且验证将不起作用。

对此的一种解决方案是将 AntiForgeryConfig.CookieName 设置为相同的值。虽然它可以与同一台机器上的应用程序(使用相同的 key )和相同的域一起使用，但我认为这不是一个好的做法，因为它在任何其他情况下都不起作用。您可以在不同的计算机上将 key 设置为相同的(这在安全方面已经不是好的做法)，但 cookie 不会发送到不同的域。