C# ASP.NET Core WebAPI:验证提供的反伪造令牌失败。cookie令牌和请求令牌已交换
在我的ASP.NET Core 2 WebAPI应用程序中,我希望对我的POST、PUT和DELETE控制器方法使用AntiforgeryToken。重新开始,我设置了启动类的ConfigureServices和Configure方法。在客户端,我使用Angular 5和它们的默认配置来进行Antiforgery。我想不出问题出在哪里 这是我的Startup.cs的摘录C# ASP.NET Core WebAPI:验证提供的反伪造令牌失败。cookie令牌和请求令牌已交换,c#,angular,asp.net-web-api,.net-core,x-xsrf-token,C#,Angular,Asp.net Web Api,.net Core,X Xsrf Token,在我的ASP.NET Core 2 WebAPI应用程序中,我希望对我的POST、PUT和DELETE控制器方法使用AntiforgeryToken。重新开始,我设置了启动类的ConfigureServices和Configure方法。在客户端,我使用Angular 5和它们的默认配置来进行Antiforgery。我想不出问题出在哪里 这是我的Startup.cs的摘录 public void ConfigureServices(IServiceCollection services) {
public void ConfigureServices(IServiceCollection services)
{
// ...
services.AddAntiforgery(options =>
{
options.Cookie.Name = "XSRF-TOKEN";
options.HeaderName = "X-XSRF-TOKEN";
options.FormFieldName = "F-XSFR-TOKEN";
});
// ...
}
public void Configure(IApplicationBuilder app, IHostingEnvironment env, ILoggerFactory loggerFactory, IServiceProvider provider, ILogger<Startup> logger, IAntiforgery antiforgery)
{
// ...
app.Use(async (context, next) =>
{
var tokens = antiforgery.GetAndStoreTokens(context);
context.Response.Cookies.Append("XSRF-TOKEN", tokens.RequestToken, new CookieOptions() { HttpOnly = false });
await next();
});
// ...
}
我的控制器都是这样的:
[Authorize]
[Route("api")]
public class CarController : Controller
{
#region Variables
private readonly DataContext _db;
private ILogger<CarController> _logger;
#endregion
#region Constructor
public CarController(DataContext db, ILogger<CarController> logger)
{
_db = db;
_logger = logger;
}
#endregion
#region Methods
[AllowAnonymous]
[HttpGet("[controller]")]
public IActionResult Get()
{
try
{
return Ok(_db.Cars);
}
catch (Exception ex)
{
_logger.LogError(ex.GetHashCode(), ex, ex.Message);
return BadRequest(ex);
}
}
[HttpPost("[controller]")]
[ValidateAntiForgeryToken]
public async Task<IActionResult> Post([FromBody] CreateCar model)
{
try
{
// Creates a new car.
}
catch (Exception ex)
{
_logger.LogError(ex.HResult, ex, ex.Message);
return StatusCode(500, ex);
}
}
[HttpPut("[controller]/{id}")]
[ValidateAntiForgeryToken]
public async Task<IActionResult> Put(int id, [FromBody] UpdateCar model)
{
try
{
// Updates a car
}
catch (Exception ex)
{
_logger.LogError(ex.HResult, ex, ex.Message);
return StatusCode(500, ex);
}
}
#endregion
}
我遇到了同样的问题,我想我找到了问题所在 TLDR:options.Cookie.Name=ASP-XSRF-TOKEN AddAntiforgery中的options.Cookie.Name必须与您使用context.Response.Cookies.Append手动设置的Cookie不同 尝试更改其中一个的名称,它将起作用。现在,您将使用tokens.RequestToken值覆盖使用options.cookie.Name名称生成的cookie 您可以注意到开发人员工具中的差异 使用options.Cookie.Name生成的默认令牌标记为仅http HttpOnly=true 使用context.Response.Cookies.Append手动附加的令牌被标记为HttpOnly=false 第二个是从JS/Angular读取的,您可以在JS中读取它,因为HttpOnly=false并作为ajax请求中的头发送,并根据无法从JS读取的默认值进行验证