C# ASP.NET Core WebAPI:验证提供的反伪造令牌失败。cookie令牌和请求令牌已交换_C#_Angular_Asp.net Web Api_.net Core_X Xsrf Token

C# ASP.NET Core WebAPI:验证提供的反伪造令牌失败。cookie令牌和请求令牌已交换

c# angular asp.net-web-api .net-core

C# ASP.NET Core WebAPI:验证提供的反伪造令牌失败。cookie令牌和请求令牌已交换,c#,angular,asp.net-web-api,.net-core,x-xsrf-token,C#,Angular,Asp.net Web Api,.net Core,X Xsrf Token,在我的ASP.NET Core 2 WebAPI应用程序中，我希望对我的POST、PUT和DELETE控制器方法使用AntiforgeryToken。重新开始，我设置了启动类的ConfigureServices和Configure方法。在客户端，我使用Angular 5和它们的默认配置来进行Antiforgery。我想不出问题出在哪里这是我的Startup.cs的摘录 public void ConfigureServices(IServiceCollection services) {

在我的ASP.NET Core 2 WebAPI应用程序中，我希望对我的POST、PUT和DELETE控制器方法使用AntiforgeryToken。重新开始，我设置了启动类的ConfigureServices和Configure方法。在客户端，我使用Angular 5和它们的默认配置来进行Antiforgery。我想不出问题出在哪里

这是我的Startup.cs的摘录

public void ConfigureServices(IServiceCollection services)
{
    // ...
    services.AddAntiforgery(options =>
    {
        options.Cookie.Name = "XSRF-TOKEN";
        options.HeaderName = "X-XSRF-TOKEN";
        options.FormFieldName = "F-XSFR-TOKEN";
    });
    // ...
}

public void Configure(IApplicationBuilder app, IHostingEnvironment env, ILoggerFactory loggerFactory, IServiceProvider provider, ILogger<Startup> logger, IAntiforgery antiforgery)
{
    // ...
    app.Use(async (context, next) =>
    {
        var tokens = antiforgery.GetAndStoreTokens(context);
        context.Response.Cookies.Append("XSRF-TOKEN", tokens.RequestToken, new CookieOptions() { HttpOnly = false });
        await next();
    });
    // ...
}

我的控制器都是这样的：

[Authorize]
[Route("api")]
public class CarController : Controller
{
    #region Variables
    private readonly DataContext _db;
    private ILogger<CarController> _logger;
    #endregion

    #region Constructor
    public CarController(DataContext db, ILogger<CarController> logger)
    {
        _db = db;
        _logger = logger;
    }
    #endregion

    #region Methods
    [AllowAnonymous]
    [HttpGet("[controller]")]
    public IActionResult Get()
    {
        try
        {
            return Ok(_db.Cars);
        }
        catch (Exception ex)
        {
            _logger.LogError(ex.GetHashCode(), ex, ex.Message);
            return BadRequest(ex);
        }
    }

    [HttpPost("[controller]")]
    [ValidateAntiForgeryToken]
    public async Task<IActionResult> Post([FromBody] CreateCar model)
    {
        try
        {
            // Creates a new car.
        }
        catch (Exception ex)
        {
            _logger.LogError(ex.HResult, ex, ex.Message);
            return StatusCode(500, ex);
        }
    }

    [HttpPut("[controller]/{id}")]
    [ValidateAntiForgeryToken]
    public async Task<IActionResult> Put(int id, [FromBody] UpdateCar model)
    {
        try
        {
            // Updates a car
        }
        catch (Exception ex)
        {
            _logger.LogError(ex.HResult, ex, ex.Message);
            return StatusCode(500, ex);
        }
    }
    #endregion
}

我遇到了同样的问题，我想我找到了问题所在

TLDR:options.Cookie.Name=ASP-XSRF-TOKEN

AddAntiforgery中的options.Cookie.Name必须与您使用context.Response.Cookies.Append手动设置的Cookie不同

尝试更改其中一个的名称，它将起作用。现在，您将使用tokens.RequestToken值覆盖使用options.cookie.Name名称生成的cookie

您可以注意到开发人员工具中的差异

使用options.Cookie.Name生成的默认令牌标记为仅http HttpOnly=true 使用context.Response.Cookies.Append手动附加的令牌被标记为HttpOnly=false 第二个是从JS/Angular读取的，您可以在JS中读取它，因为HttpOnly=false并作为ajax请求中的头发送，并根据无法从JS读取的默认值进行验证