使用ASP.NET核心和JQuery启用反伪造令牌_Jquery_Ajax_Asp.net Core_Antiforgerytoken

使用ASP.NET核心和JQuery启用反伪造令牌

jquery ajax asp.net-core

使用ASP.NET核心和JQuery启用反伪造令牌,jquery,ajax,asp.net-core,antiforgerytoken,Jquery,Ajax,Asp.net Core,Antiforgerytoken,我将JQuery与ASP.NET Core 1.0.1一起使用，我有Ajax调用： $("#send-message").on("submit", function (event) { event.preventDefault(); var $form = $(this); $.ajax({ url: "api/messages", data: JSON.stringify($form.serializeToJSON()), dataType: "jso

我将JQuery与ASP.NET Core 1.0.1一起使用，我有Ajax调用：

$("#send-message").on("submit", function (event) {
  event.preventDefault();
  var $form = $(this);   
  $.ajax({
    url: "api/messages",
    data: JSON.stringify($form.serializeToJSON()),
    dataType: "json",
    headers: {
      Accept: "application/json",
      "Content-Type": "application/json"
    },
    type: "post"
  })
  .done(function (data, status, xhr) { })
  .fail(function (xhr, status, error) { });

要执行ASP.NET核心操作，请执行以下操作：

[HttpPost("messages")]
public async Task<IActionResult> Post([FromBody]MessagePostApiModelModel model) {
   // Send message
}

如何通过JQuery Ajax调用启用ASP.NET Core的AntiForgeryToken

更新

我需要将以下asp控制器和asp操作添加到表单中：

<form asp-controller="QuestionApi" asp-action="Post" id="send-question" method="post">
</form>

有更好的方法吗

如果没有表单，并且我只有一个A标记，单击该标记会调用Ajax，那么如何解决这个问题？我可以在我的页面头上生成一个通用的antiforgery令牌，供该页面中的所有ajax调用使用吗？

您可以注册一个全局ajax事件，该事件将把该头添加到所有未通过此操作获得的ajax调用中：

$(document).ajaxSend(function(e, xhr, options) {
    if (options.type.toUpperCase() != "GET") {
        xhr.setRequestHeader("RequestVerificationToken", token);
    }
});

mode777的答案只需要添加一点就可以实现（我尝试过）：

$（文档）.ajaxSend（函数（e、xhr、选项）{
if（options.type.toUpperCase（）=“POST”）{
var token=$form.find（“输入[name='af_token']”）。val（）；
setRequestHeader（“RequestVerificationToken”，令牌）；
}
});

实际上，如果您也使用Ajax进行提交，则根本不需要使用表单。把这个放在你的_布局中：

@Html.AntiForgeryToken（）

然后通过将以下内容添加到javascript中来获取令牌：

$(document)
   .ajaxSend(function (event, jqxhr, settings) {
        if (settings.type.toUpperCase() != "POST") return;
        jqxhr.setRequestHeader('RequestVerificationToken', $(".AntiForge" + " input").val())
})

function DoSomething(id) {
    $.post("/something/todo/"+id,
               { "__RequestVerificationToken": '@GetAntiXsrfRequestToken()' });
}

@HtmlAntiForgeryToken使用antiforgery令牌生成一个隐藏的输入字段，与使用表单时相同。上面的代码使用类选择器来选择范围，然后获取其中的输入字段以收集令牌并将其添加为标头。

注意：此答案适用于ASP.NET Core 2.0。它可能不适合旧版本

以下是我在浏览了一段时间aspnet的源代码后所做的工作：

public static class HttpContextExtensions
{
    public static string GetAntiforgeryToken(this HttpContext httpContext)
    {
        var antiforgery = (IAntiforgery)httpContext.RequestServices.GetService(typeof(IAntiforgery));
        var tokenSet = antiforgery.GetAndStoreTokens(httpContext);
        string fieldName = tokenSet.FormFieldName;
        string requestToken = tokenSet.RequestToken;
        return requestToken;
    }
}

您可以在如下视图中使用它：

<script>
    var data = {
        yourData: "bla",
        "__RequestVerificationToken": "@Context.GetAntiforgeryToken()"
    };
    $.post("@Url.Action("ActionName")", data);
</script>


风险值数据={
你的数据：“bla”，
“\uuu RequestVerificationToken”：“@Context.GetAntiforgeryToken（）
};
$.post（“@Url.Action（“ActionName”）”，数据）；

您可以修改扩展方法以返回字段的名称，格式可以是您希望的任何形式，例如。 GJSON片段。

此外，如果要将XSRF令牌作为头传递，例如

X-XSRF-token

：

var ajax = {
    url: "/users",
    data: data,
    type: "post",

    // ...
};

var antiForgeryToken = $("input[name=__RequestVerificationToken]").val();
if (antiForgeryToken) {
    ajax.headers = {};
    ajax.headers["X-XSRF-Token"] = antiForgeryToken;
};

$.ajax(ajax);

然后，您还需要指定相应的防伪选项：

public void ConfigureServices(IServiceCollection services)
{
    // your services to inject are also configured here ...

    services.AddAntiforgery(options => options.HeaderName = "X-XSRF-Token");
    services.AddMvc();
}

然后，您可以使用标准的

ValidateAntiForgeryToken

属性来验证请求：

[HttpPost]
[ValidateAntiForgeryToken]
public JsonResult Users(UserModel user)
{
    // ...
}

在Asp.Net Core中，您可以直接请求令牌：

并在javascript中使用它：

$(document)
   .ajaxSend(function (event, jqxhr, settings) {
        if (settings.type.toUpperCase() != "POST") return;
        jqxhr.setRequestHeader('RequestVerificationToken', $(".AntiForge" + " input").val())
})

function DoSomething(id) {
    $.post("/something/todo/"+id,
               { "__RequestVerificationToken": '@GetAntiXsrfRequestToken()' });
}

您可以添加建议的全局筛选器：

您的表单是使用表单标记帮助器在服务器端生成的吗？如果是这种情况，令牌将作为字段自动生成，因此它将包含在

form.serializeToJSON

中。不管答案如何，在控制器操作中也需要

[ValidateAntiForgeryToken]

属性。@DanielJ.G。它是在服务器端生成的，但我没有使用asp控制器和asp操作，因为我使用JQuery提交它。我只是更新我的问题。我遗漏了什么吗？我需要在我的JQuery调用中手动添加以下头：头：{“RequestVerificationToken”：$form.find（“输入[name='af_令牌]）”）.val（）}。。。有更好的方法吗？您可以在不使用asp控制器或asp操作的情况下使用原始表单，只需添加

asp antiforgery=“true”

即可将其转换为表单标记帮助器，从而添加antiforgery令牌隐藏输入。如果没有表单，您可能会发现该怎么做很有用。只要您在相同的请求上下文中，您就会得到相同的令牌。通过比较

var-tokenSet=antiforgery.GetAndStoreTokens（上下文）进行尝试表单中的令牌隐藏输入检查生成的令牌名称，在asp.core 1.1中它是uu RequestVerificationToken，因此您需要根据@Pieter van Kampen的注释更改名称=“…”，请注意，表单字段名确实以双下划线开头，但标题名不以双下划线开头。有一种更简单的方法可以获取数据，而无需在HTML文档中添加任何不必要的内容，请参阅我的答案。@ygoe:不确定这有何帮助。您需要在视图中放置ajax调用，而javascript中可能有许多ajax调用。上述解决方案是通用的。@Html.AntiforgeryToken（）（在隐藏输入或span中）可以放置在布局中。.ajaxSend脚本可以在javascript文件中放置一次，并应用于您进行的所有后期ajax调用。这似乎是一种比文档中描述的inject和function方法更好的方法，因为视图中始终有一个上下文对象，不需要额外的“素材”。我最终将此答案与mode777结合起来，这两种方法本身都不够。当我添加u RequestVerificationToken时，我得到了415（不支持的媒体类型）错误响应。我该怎么解决？@gbade_uuu抱歉，从没听说过那个密码。你可能应该问一个更详细的新问题。
@inject Microsoft.AspNetCore.Antiforgery.IAntiforgery Xsrf    
@functions{
    public string GetAntiXsrfRequestToken()
    {
        return Xsrf.GetAndStoreTokens(Context).RequestToken;
    }
}

function DoSomething(id) {
    $.post("/something/todo/"+id,
               { "__RequestVerificationToken": '@GetAntiXsrfRequestToken()' });
}

services.AddMvc(options =>
{
    options.Filters.Add(new AutoValidateAntiforgeryTokenAttribute());
})