asp.net-mvc C 在一个页面中以两种不同的形式使用多个@ Html.AntiForgeryToken()是否可
Html.AntiForgeryToken().我有一个注册控制器,创建/注册新成员.因此,我使用@ Html.AntiForgeryToken(),而不在我的主提交表单中使用任何SALT.现在我想验证用户名,如
我一直面临严重的问题@ Html.AntiForgeryToken().我有一个注册控制器,创建/注册新成员.因此,我使用@ Html.AntiForgeryToken(),而不在我的主提交表单中使用任何SALT.现在我想验证用户名,如果它已经存在于我的用户名文本框的blur事件的数据库上.对于这个验证,我写了一个名为“验证”的新控制器,并写了一个常量验证SALT的方法: [HttpPost] [ValidateAntiForgeryToken(Salt = @ApplicationEnvironment.SALT)] public ActionResult username(string log) { try { if (log == null || log.Length < 3) return Json(log,JsonRequestBehavior.AllowGet); var member = Membership.GetUser(log); if (member == null) { //string userPattern = @"^([a-zA-Z])[a-zA-Z_-]*[w_-]*[S]$|^([a-zA-Z])[0-9_-]*[S]$|^[a-zA-Z]*[S]$"; string userPattern = "[A-Za-z][A-Za-z0-9._]{3,80}"; if (Regex.IsMatch(log,userPattern)) return Json(log,JsonRequestBehavior.AllowGet); } } catch (Exception ex) { CustomErrorHandling.HandleErrorByEmail(ex,"Validate LogName()"); return Json(log,JsonRequestBehavior.AllowGet); } //found e false return Json(log,JsonRequestBehavior.AllowGet); } 方法工作正常我没有[ValidateAntiForgeryToken]检查HTTP Get注释,并给我预期的结果. 我已经google了,并且检查了许多给定的解决方案,没有一个这样的工作.对于我的验证控制器,我在同一个页面中使用了另一个表单,并在防伪令牌中使用了一个SALT. 例: @using (Html.BeginForm(“Create”,“Register”)) { 第二个防伪令牌: <form id="__AjaxAntiForgeryForm" action="#" method="post"> @Html.AntiForgeryToken(SALT) </form>在javascript中我使用了这个 <script type="text/javascript" defer="defer"> $(function () { AddAntiForgeryToken = function (data) { data.__RequestVerificationToken = $('#__AjaxAntiForgeryForm input[name=__RequestVerificationToken]').val(); return data; }; if ($("#LogName").length > 0) { $("#LogName").blur(function () { var user = $("#LogName").val(); var logValidate = "/Validation/username/"; //var URL = logValidate + user; //var token = $('#validation input[name=__RequestVerificationToken]').val(); data = AddAntiForgeryToken({ log: user }); $.ajax({ type: "POST",dataType: "JSON",url: logValidate,data: data,success: function (response) { alert(response); } }); }); } }); </script>在我的火焰中,我得到了: log=admin&__RequestVerificationToken=NO8Kds6B2e8bexBjesKlwkSexamsruZc4HeTnFOlYL4Iu6ia%2FyH7qBJcgHusekA50D7TVvYj%2FqB4eZp4VDFlfA6GN5gRz7PB%2ByZ0AxtxW4nT0E%2FvmYwn7Fvo4GzS2ZAhsGLyQC098dfIJaWCSiPcc%2FfD00FqKxjvnqmxhXvnEx2Ye83LbfqA%2F4XTBX8getBeodwUQNkcNi6ZtAJQZ79ySg%3D%3D通过,但在cookie部分我有一个不同于传递的cookie: 我认为这是因为我在一页中使用了2个防伪令牌.但在我看来,我应该使用2,因为第一个是生成提交发生,下一个需要验证验证.然而,这是我的猜测,我认为我错了,因此我需要你们的帮助. 任何人都可以解释我应该用两个防伪还是一个的事实? 先谢谢大家…. 解决方法 最后8个小时的奋斗给了我一个解决方案.首先,首先,是的,在页面上使用2个防伪令牌是没有害处的.第二,不需要将Cookie与提供令牌相匹配.提供令牌将始终不同,并将在服务器中进行验证. 如果我们使用[HttpGet]动作动词,反伪造币不起作用.因为在反伪造的验证过程中,令牌通过从请求中检索Request.Form [‘__ RequestVerificationToken’]值来验证.参考:Steven Sanderson’s blog: prevent cross… 解决方案: 我修改控制器: [HttpPost] [ValidateAntiForgeryToken(Salt = @ApplicationEnvironment.SALT)] //change the map route values to accept this parameters. public ActionResult username(string id,string __RequestVerificationToken) { string returnParam = __RequestVerificationToken; try { if (id == null || id.Length < 3) return Json(returnParam,JsonRequestBehavior.AllowGet); var member = Membership.GetUser(id); if (member == null) { //string userPattern = @"^([a-zA-Z])[a-zA-Z_-]*[w_-]*[S]$|^([a-zA-Z])[0-9_-]*[S]$|^[a-zA-Z]*[S]$"; string userPattern = "[A-Za-z][A-Za-z0-9._]{3,80}"; if (Regex.IsMatch(id,userPattern)) return Json(returnParam,"Validate LogName()"); return Json(returnParam,JsonRequestBehavior.AllowGet); } //found e false return Json(returnParam,JsonRequestBehavior.AllowGet); }我的第一张表格在同一页: @using (Html.BeginForm("Create","Register")) { @Html.AntiForgeryToken(ApplicationEnvironment.SALT) @Html.ValidationSummary(true) .... }我的第二张表格在同一页: **<form id="validation"> <!-- there is harm in using 2 anti-forgery tokens in one page--> @Html.AntiForgeryToken(ApplicationEnvironment.SALT) <input type="hidden" name="id" id="id" value="" /> </form>**我的jQuery来解决这个问题: $("#LogName").blur(function () { var user = $("#LogName").val(); var logValidate = "/Validation/username/"; $("#validation #id").val(user); **var form = $("#validation").serialize(); // a form is very important to verify anti-forgery token and data must be send in a form.** var token = $('input[name=__RequestVerificationToken]').val(); $.ajax({ **type: "POST",//method must be POST to validate anti-forgery token or else it won't work.** dataType: "JSON",data: form,success: function (response) { alert(response); } }); });(编辑:大庆站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
- asp.net – 使用JavaScript重新排列的ListBox元素导致回发时
- asp.net – 我的HTML5的doctype是否必须在第一行?
- asp.net-mvc – 如何检测移动浏览器,并将适当的内容指向它?
- ASP.NET通过自定义函数实现对字符串的大小写切换功能
- asp.net – 在Application_BeginRequest中设置会话变量
- asp.net-mvc – 如何在RegularExpression中忽略大小写?
- asp.net – Orchard CMS和Sitefinity CMS
- asp.net-mvc – MVC3验证与实体框架模型/数据库首先
- asp.net-mvc-3 – 如何避免使用MVC3 FileContentResult重复
- 什么是使用aspnet_compiler.exe预编译ASP.NET项目的优势?
- asp.net中Session缓存与Cache缓存的区别分析
- Phonegap上的ASP.NET窗体身份验证问题(Android)
- asp.net-mvc – ELMAH和SQL Server 2008 R2?
- asp.net-mvc C 在一个页面中以两种不同的形式使用
- asp.net-mvc-3 – 使用自定义VirtualPathProvide
- asp.net-mvc – 使用AD的ASP.NET MVC表单Auth在本
- ASP.NET中下载文件的几种实例代码
- 密码由6-12位数字或字母组成,密码哈希加密
- asp.net – 如何使用Inno Setup脚本创建IIS应用程
- asp.net-mvc – 保存后显示相同的页面
- asp.net-core C 如何使用ASP.NET注册OData
- asp.net C MVC4 C ContextDependentView C
- asp.net-mvc-3 C 如何从ASP.NET MVC#输出中
- asp.net-mvc C 已经使用相同的参数类型定义
- asp.net-mvc C ASP.NET MVC中的WebApi [Fro
- asp.net C 适用于多个用户的EWS通知中心
- asp.net-mvc C 使用AD的ASP.NET MVC表单Aut
- ASP.Net C AJAX UpdatePanel中的Javascript
- asp.net-mvc C 未在ELMAH中记录的错误
- asp.net-mvc C MVC应用程序中的随机数生成