Asp.net mvc 如果用户向仅POST操作提交表单并且其身份验证超时,则登录后重定向将导致404错误
我有一个使用表单身份验证的MVC应用程序,我收到了404个错误。发生的情况是,当用户的身份验证超时时,用户恰好将表单提交给一个仅发布的操作,并且他们被重定向到登录页面。登录后,使用GET将它们重定向回原始URL,这将导致404错误,因为操作是POST only 我有两个问题:Asp.net mvc 如果用户向仅POST操作提交表单并且其身份验证超时,则登录后重定向将导致404错误,asp.net-mvc,forms-authentication,http-post,Asp.net Mvc,Forms Authentication,Http Post,我有一个使用表单身份验证的MVC应用程序,我收到了404个错误。发生的情况是,当用户的身份验证超时时,用户恰好将表单提交给一个仅发布的操作,并且他们被重定向到登录页面。登录后,使用GET将它们重定向回原始URL,这将导致404错误,因为操作是POST only 我有两个问题: 我的想法是通过某种方式检测被重定向到的操作是否是一个仅发布的操作,然后重定向到主页。我该怎么做呢 理想情况下,应用程序会记住发布的值,并通过POST将它们提交到原始URL,但我不知道如何绕过表单身份验证来做到这一点,我怀疑
一个简单的修复方法是创建一个GET-only操作,该操作与POST-only操作同名,只是重定向到主页。创建一个在登录后恢复表单发布的解决方案需要花费大量的工作才能获得最小的收益 更新:
关于创建所有这些GET操作的工作量。。一个更优雅的选择是专门为此场景创建一个名为
HttpPostOrRedirectAttributehttpposattribute正如您所说,如果您有很多表单页面,这是一项相当多的额外工作,但应该有某种方式来封装行为以供重用。我创建了一个动作过滤器,作为上述响应的结果,我将把它留给后人。它将任何指定的参数从尝试的操作传递到重定向操作
public class HttpPostOrRedirectAttribute : ActionFilterAttribute
{
public string RedirectAction { get; set; }
public string RedirectController { get; set; }
public string[] ParametersToPassWithRedirect { get; set; }
public HttpPostOrRedirectAttribute(string redirectAction)
: this(redirectAction, null, new string[] { })
{
}
public HttpPostOrRedirectAttribute(string redirectAction, string[] parametersToPassWithRedirect)
: this(redirectAction, null, parametersToPassWithRedirect)
{
}
public HttpPostOrRedirectAttribute(string redirectAction, string redirectController, string[] parametersToPassWithRedirect)
{
RedirectAction = redirectAction;
RedirectController = redirectController;
ParametersToPassWithRedirect = parametersToPassWithRedirect;
}
public override void OnActionExecuting(ActionExecutingContext filterContext)
{
if (filterContext.HttpContext.Request.HttpMethod == "POST")
{
base.OnActionExecuting(filterContext);
}
else
{
string redirectUrl = GetRedirectUrl(filterContext.RequestContext);
filterContext.Controller.TempData["Warning"] = "Your action could not be completed as your"
+ " session had expired. Please try again.";
filterContext.Result = new RedirectResult(redirectUrl);
}
}
public string GetRedirectUrl(RequestContext context)
{
RouteValueDictionary routeValues = new RouteValueDictionary();
foreach (string parameter in ParametersToPassWithRedirect)
{
if(context.RouteData.Values.ContainsKey(parameter))
routeValues.Add(parameter, context.RouteData.Values[parameter]);
}
string controller = RedirectController
?? context.RouteData.Values["controller"].ToString();
UrlHelper urlHelper = new UrlHelper(context);
return urlHelper.Action(RedirectAction, controller, routeValues);
}
}
HttpPostHttpPostOrRedirect[HttpPostOrRedirect("Display", "User", new[] { "id", "param1", "param2" })]
public ActionResult Delete(User user, int param1, string param2)
{
...
}
下面是@stusherwin answer的改进版本,支持ValidateAntiForgeryToken和MVC区域 您的POST操作可能具有ValidateAntiForgeryToken属性以防止CSRF攻击。在这种情况下,将始终首先执行ValidateAntiForgeryToken筛选器,因为它是授权筛选器。因此,我们还需要使HttpPostOrRedirectAttribute成为一个授权过滤器。否则,将引发未找到防伪令牌的异常 另一个改进是向MVC区域添加重定向
public class HttpPostOrRedirectAttribute : FilterAttribute, IAuthorizationFilter
{
public string RedirectAction { get; set; }
public string RedirectController { get; set; }
public string RedirectArea { get; set; }
public string[] ParametersToPassWithRedirect { get; set; }
public HttpPostOrRedirectAttribute(string redirectAction)
: this(redirectAction, null, new string[] { })
{
}
public HttpPostOrRedirectAttribute(string redirectAction, string[] parametersToPassWithRedirect)
: this(redirectAction, null, parametersToPassWithRedirect)
{
}
public HttpPostOrRedirectAttribute(string redirectAction, string redirectController, string[] parametersToPassWithRedirect)
{
RedirectAction = redirectAction;
RedirectController = redirectController;
ParametersToPassWithRedirect = parametersToPassWithRedirect;
}
public HttpPostOrRedirectAttribute(string redirectAction, string redirectController, string redirectArea)
{
RedirectAction = redirectAction;
RedirectController = redirectController;
RedirectArea = redirectArea;
}
public HttpPostOrRedirectAttribute(string redirectAction, string redirectController, string redirectArea, string[] parametersToPassWithRedirect)
{
RedirectAction = redirectAction;
RedirectController = redirectController;
RedirectArea = redirectArea;
ParametersToPassWithRedirect = parametersToPassWithRedirect;
}
public void OnAuthorization(AuthorizationContext filterContext)
{
if (filterContext.HttpContext.Request.HttpMethod == "POST")
return;
string redirectUrl = GetRedirectUrl(filterContext.RequestContext);
filterContext.Controller.TempData["Warning"] = "Your action could not be completed as your"
+ " session had expired. Please try again.";
filterContext.Result = new RedirectResult(redirectUrl);
}
public string GetRedirectUrl(RequestContext context)
{
RouteValueDictionary routeValues = new RouteValueDictionary();
foreach (string parameter in ParametersToPassWithRedirect)
{
if (context.RouteData.Values.ContainsKey(parameter))
routeValues.Add(parameter, context.RouteData.Values[parameter]);
}
if (RedirectArea.IsNotEmpty())
routeValues.Add("area", RedirectArea);
string controller = RedirectController
?? context.RouteData.Values["controller"].ToString();
UrlHelper urlHelper = new UrlHelper(context);
return urlHelper.Action(RedirectAction, controller, routeValues);
}
}
[HttpPostOrRedirect("Display", "User", "Admin", new[] { "id", "param1"}, Order = 0)]
[ValidateAntiForgeryToken(Order = 1)]
public ActionResult Delete(User user, int param1, string param2)
{
...
}
我没想到!虽然有很多只发布的操作,但这需要添加很多新操作。好主意。这似乎是最好的办法。谢谢。是的,这是一个解决方案,UpTheCreek说了同样的话。谢谢你的回答,所有的孩子们!这很有帮助,谢谢!我发布了改进版,支持ValidateAntiForgeryToken并重定向到MVC区域。