angularjs - 验证AntiForgeryToken AngularJS。 X-XSRF-TOKEN header 和 XSRF-TOKEN cookie 设置但得到 400-6ren

angularjs - 验证AntiForgeryToken AngularJS。 X-XSRF-TOKEN header 和 XSRF-TOKEN cookie 设置但得到 400

转载作者：行者123 更新时间：2023-12-02 23:42:35

30

4

任何人都可以帮助我发现我做错了什么，或者建议帮助我解决问题的方法吗？

我正在尝试使用 .net core 2.2 和 Angular 1.x 实现防伪

我已遵循 https://learn.microsoft.com/en-us/aspnet/core/security/anti-request-forgery?view=aspnetcore-2.2 的建议

我正在将 Antiforgery 添加到 Startup.ConfigureServices

public void ConfigureServices(IServiceCollection services)
    {
        services.AddAntiforgery(options => 
        { 
            options.HeaderName = "X-XSRF-TOKEN";
        });
...

并在配置中设置cookie

public void Configure(IApplicationBuilder app, IHostingEnvironment env, IAntiforgery antiforgery)
{
    app.Use(next => context =>
    {
        if (
            string.Equals(context.Request.Path.Value, "/", StringComparison.OrdinalIgnoreCase) ||
            string.Equals(context.Request.Path.Value, "/index.html", StringComparison.OrdinalIgnoreCase))
        {
            // We can send the request token as a JavaScript-readable cookie, and Angular will use it by default.
            var tokens = antiforgery.GetAndStoreTokens(context);
            context.Response.Cookies.Append("XSRF-TOKEN", tokens.RequestToken,
                new CookieOptions() { HttpOnly = false });
        }

        return next(context);
    });

我正在装饰 Controller

namespace myApp.Controllers
{
    [Authorize]
    [Route("api/[controller]")]
    [AutoValidateAntiforgeryToken]
    public class MyController : BaseController {
...

对 api 的调用返回 400(错误请求)

查看请求，我可以看到 Header 和 cookie 值已设置:

POST /api/workorder/Comments HTTP/1.1
Host: localhost
Connection: keep-alive
Content-Length: 98
Accept: application/json, text/plain, */*
Origin: https://localhost
X-XSRF-TOKEN: CfDJ8BCa8m6CvM5GparPYbgIX8FXQjjHjRAiGd9e9COKtDhDUbgE7_X9qgikbPsIyHJeRjuw2y-qHEqTn5YESmw0Gj6ZVf9xXF-TUf_ditqyTuBRpeXr_JTH7Uk18oklltlyHkYwcQ2C3SpOIgqFYyT6to4
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.92 Safari/537.36
Content-type: application/json
Referer: https://localhost/
Accept-Encoding: gzip, deflate, br
Accept-Language: en-GB,en;q=0.9,en-US;q=0.8
Cookie: .AspNetCore.Session=CfDJ8BCa8m6CvM5GparPYbgIX8GcURsnOV6r5RkBhFxasg3GeHxhTASIKLGW%2FKbAEe0diH8oX7Vi1JaiKpjHs3k9PAiCsbVFIjF2bketdVNP7XuAk3d4NiCW7xB2bR4CQrubL9E4aoAVVB4tf%2FENL6xRjSWlTxpzywiZ4SHm9%2FLB%2FFd3; ADRUM=s=1575051518681&r=https%3A%2F%2Flocalhost%2F%3F159349506; XSRF-TOKEN=CfDJ8BCa8m6CvM5GparPYbgIX8FXQjjHjRAiGd9e9COKtDhDUbgE7_X9qgikbPsIyHJeRjuw2y-qHEqTn5YESmw0Gj6ZVf9xXF-TUf_ditqyTuBRpeXr_JTH7Uk18oklltlyHkYwcQ2C3SpOIgqFYyT6to4; .AspNetCore.Cookies=CfDJ8BCa8m6CvM5GparPYbgIX8GRcj_GMNMrBD5Dse6ZyfxXHUlF5Ldok61Gtm49-6bEjvFWX7prULqhzvnVSsq_bOoQedsDBIWB11BP2a13ea50u6-QT0ap9j9kTtwXzw-vuZBpiD_N-WIovswE2IQ4MfpG2xuALfjQfVt9g2M_Nv3fhuBJMJnWcs0Oy4XPdDKumJ-pPmB3pvhv6RjeqdKOk_mz8SmU0Pa7-02cXFj9WIq3SbPi1oZy0msgTVpN9HCzbdA2KJJM9oRgsJ_mIN-EqP96WqVYT7SqoQBp2rGk7V-SOxGVSncQ5-j6s6vcL2oURFfyI3Cqz89DNL_lmddf-iJg4uPBcL6qP_2e12k89NHuv0c3F9XIQ9cT8fAfdjUurSpb4PrxrYVs4eSMAyecgWSmvIinCdXdzJUTM4mGKXd4ySwvHCFnL0xgJpuIWH-V4EmP5qsMexfiFAD80xiu2387PrEqLgmA0XGJEM-TEikbr5JQPy-gmxZLTq2sgUofc67v_vzJurdqojgseNw_ZrWke0bn9dSxFakgD7URFcIBeaeIkzTL0mqc_43j3xWUgfi-mpIQtL4Zo4OF_aIh2YQncRWgS5uBZ6RAwN2PnJJy_UoiFU37Adw_5pjqW4kfNQ8pxr1n7MRiPe6yB45qAE6dyGFpvrJ8pWOF5h3mxEz1q7zd4Mo5tcZeBpUooGwkyM5gMx0aSW4wcAL8dYzgMwY-gYDcMD4HJ3-XciFoP6Q0iycpfecQAGbPMfjxNnS0XdAP2bXbYklPcx7D0PL0onMkreBqlliU8oDjCmub-avPLcOB_LMzVn6aUy8_bwv7Qmx4PMPHG27PSEGLuhFu8AdmxfTZOHHtD2OvbIgGbIpodNTTK6Zg7dM6oKBM8RCUa3QszhszBIFaPgz4aGCeCfCLc1-FKujMbOhM3KjgRqkQ_-0ahr2JGEtLNbjx-0QhiJNvR6dDqCAWRQGxbwe-fc1N1CerDa1I_OW2aE8uwgAniPlSu0gCixutaonF5td8MeKe4O4538iHEg4VbcGwr2i6FSP4uTYPfZ3pQ1TBLB1aBRtT2mzFuaNZoPWhpxdnQFDvB1R4riy--364vWD7SygiQx9aLdVQ-ds2JY-wi0Dx0VyOP0csZ1NvBnrqOj7IPQWLrclHf1S3qokFwSV6ynqEf0iWvuUgES1PfsvN2xP4ESKT5CJPvS-9iMem9mmBGaT7P6vFDaknDpFy640wKNLRREgVCK7ByVNEF7qGmaPTPu21H08WIDwtt4Rmut8zEQ1-DaAOe2BWUKzL8Y9OR_cgcMIfL6ZjergoeYowNucNx5hw1v-h67XpQpDETNiD-me8NKxhnuEgRLFo4_sZOjwPQM5qi4ROw0x2I_GxKV9M-MAd5Z_YlbVUxO3PLxYSg2GqGNl8UR4fFQZrTeKZUu-dM8gy05CK-ULfFkdQAc_afwRPGptqc-Q0PpfQE4Be4Q; .AspNetCore.Antiforgery.EsC6NJJg3sg=CfDJ8BCa8m6CvM5GparPYbgIX8GfDalyGMrWa5wwuF0ZcWmHkAfzmHxl2IK7BOBoQWvXmTcq_I7t0a0vCdVfd97--Sj1Dv8v53dg--LHPU9UKz3YBG0MgV_dfvtShz7_7TYbeAdDLtQqAStRwFdCOdSyick

我真的很感谢一些帮助 - 我已经在这上面花了一天多的时间，这让我发疯!

最佳答案

我的猜测是，您正在将缓解 csrf 预防的 ASP.NET Core 机制与 Angular 的方法混合在一起!忘记 Angular 并设置 header 名称 X-XSRF-TOKEN 和 cookie 名称 XSRF-REQUEST-TOKEN。然后为 post 请求编写一个拦截器，以读取该 cookie 并发送名称为 X-XSRF-TOKEN 的请求的附加 header 。

您可以在此处找到示例:

https://www.blinkingcaret.com/2018/11/29/asp-net-core-web-api-antiforgery/

关于angularjs - 验证AntiForgeryToken AngularJS。 X-XSRF-TOKEN header 和 XSRF-TOKEN cookie 设置但得到 400，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/59200504/

30

4

0

文章推荐： sql-server - MiniProfiler - SqlParameter

文章推荐： marklogic - 数据库复制未启动

文章推荐： sql-server - 统计Sql服务器中的事件？

c# - 使用{设置;得到;}而不是{得到;放;}
在 C# 及其同类语言中，我们总是使用 public string SomeString { get; set;} 但是你也可以使用(我最近才发现这个，而且是在和编译器闲逛的时候发现的) public
php - Laravel Swagger 得到 [语法错误] 预期值，得到 '@'
我已经为 Controller 中的函数编写了 Swagger 注释，但在生成 swagger-ui 代码时出现错误。以下是我的注释代码 /*** End of Annotation For dele
java - 得到??通过php代码调用jar文件时的字符
我正在 PHP 中开发一项服务，该服务使用 exec 函数调用 jar 文件，如下所示: $text = "string with accents á, ó, ú or العربية"; exec(
c - 随机大小缓冲区的缓冲区溢出？ (得到)
我正在尝试了解有关在程序中利用/防止缓冲区溢出的方法的更多信息。我知道如果大小是恒定的，下面的代码很容易受到攻击，但是如果大小每次都是随机的怎么办？是否还有办法从堆栈中获取它并以某种方式动态改变溢出字
c# - 得到;不能正常工作
对于一项学校作业，我应该制作一个可以以小时、分钟和秒为单位存储时间的时间类。一切正常，但仅声明 get 时属性总是返回 0；并设置； private int seconds, minutes, hou
javascript - 得到“未定义ReferenceError”
我正在遍历一些测验对象并将结果存储到json变量中。出现"ReferenceError is not defined"错误，不确定原因。 JS代码 // This function will send
mysql - 得到？？？通过Nifi将非拉丁数据放入mysql时
使用 Nifi 的 PutDatabaseRecord 处理器在 MySQL 中插入阿拉伯字符(非拉丁语)时，字符被“？？？？？？”替换插入后，阿拉伯字符串被替换为??????。我已经使用 utf8
c++ - 得到(变量)
谁能告诉我为什么 gets(abc) 使用 char[] 而不是使用 int？ int abc; char name[] = "lolrofl"; printf("Hello %s.\n",na
r as.POSIXct 得到 NA
为什么在使用 as.POSIXct 转换下面的时间戳时得到所有 NA？ > head(tmp$timestamp_utc) [1] Fri Jul 03 00:15:00 EDT 2015 Fri J
python - 得到 n 的所有约数的这个算法的运行时间复杂度是多少？
def get_submultiples(n): # Get all submultiples of n if n == 1: return [1] i = 2
Django 模型继承 - 得到 child
有没有办法访问基本模型的实际 child ，意思是:继续使用 django Docs 中的示例，让我们假设我正在建模不同的外卖餐厅，它们只是有共同点姓名都有deliver方法至此: class
javascript - 范围总和---得到 "undefined"
我正在寻找一个范围的总和，但我总是得到“未定义”。我相信有些东西出现在错误的位置，但我不确定它是什么。第 1 部分:“编写一个范围函数，它接受两个参数(start 和 end)，并返回一个包含从 s
java - 得到 JdkVersion classNotFoundException
我已将 spring 版本从 4.2.3 更新到 5.0.2，并将安全性从 5.0.1 更新到 5.0.10 并使用 spring -flex版本1.6.0.RC1。像这样使用 BlazeDS 依赖
java - 得到 0 输出而不是正确的输出
我可以输入但在输出中，我得到的结果为零。我使用两门类(class)，一门是主要的，是日志，另一门是成绩计算。在成绩计算器中，我编写了方法和构造函数，在日志中，类通过构造函数调用这些方法。 import
go - 构建时出错，得到 : "suspect or "
我在使用 go 时遇到了构建问题。我想知道这是编译器中的错误还是代码的问题。 // removed the error handling for sake of clarity file, _ :=
c# - 尝试与光线转换命中的对象上的组件进行交互，得到 NullReferenceException
我的角色在与盒子互动时出现问题。我有一个 GameObject Player 附加了一个脚本来与游戏中的盒子交互，脚本是: using UnityEngine; using System.Collec
javascript - 无法可视化百分比数字(得到 NaN)
有谁知道为什么我不能在下面生成百分比 codeIshere (第 97-117 行)？ var format=d3.format(".1%"); var percent = format(functi
python - 需要整数参数，得到 float
我正在尝试编写图像识别代码，以针对不同动物图像训练系统，这就是代码。我使用 anaconda 作为解释器，使用pycharm作为环境。 import tensorflow as tf import o
java - 使用初始化的字符串初始化匹配器，得到 NullPointerException
我正在尝试在 Java 中初始化 Matcher，但无论字符串是否已初始化且不为 null，都会继续获取 NPE。这是代码: pattern.compile("\\s"); System.out.p
javascript语法错误预期表达式，得到 '<'
所以我有这段代码: ; (function (g) { var d = document, i, am = d.createElement('script'), h = d.head || d.g

首页

博学

6Ren·AI

商城

angularjs - 验证AntiForgeryToken AngularJS。 X-XSRF-TOKEN header 和 XSRF-TOKEN cookie 设置但得到 400