jQuery Ajax调用和Html.AntiForgeryToken()

我已经在我的应用程序中实现了对CSRF攻击的缓解，这是我在互联网上的一些博客文章上读到的信息。特别是这些帖子一直是我实现的驱动力

ASP的最佳实践。NET MVC从ASP。NET和Web工具开发人员内容团队跨站点请求伪造攻击的剖析，来自Phil Haack的博客 ASP中的AntiForgeryToken。NET MVC框架- Html。来自David Hayden博客的AntiForgeryToken和ValidateAntiForgeryToken属性

基本上，这些文章和建议说，为了防止CSRF攻击，任何人都应该实现以下代码:

在接受POST Http谓词的每个操作上添加[ValidateAntiForgeryToken] (HttpPost) (ValidateAntiForgeryToken) SomeAction(SomeModel模型){ ｝在向服务器提交数据的表单中添加<%= Html.AntiForgeryToken() %> helper

无论如何，在我的应用程序的某些部分，我做Ajax post与jQuery到服务器没有任何形式。例如，当我让用户点击图像来执行特定操作时就会发生这种情况。

假设我有一个包含活动列表的表。我在表的一列上有一个图像，说“标记活动已完成”，当用户单击该活动时，我正在做Ajax POST如下示例:

$("a.markAsDone").click(function (event) {
    event.preventDefault();
    $.ajax({
        type: "post",
        dataType: "html",
        url: $(this).attr("rel"),
        data: {},
        success: function (response) {
            // ....
        }
    });
});

在这些情况下，我如何使用<%= Html.AntiForgeryToken() %> ?我是否应该在Ajax调用的数据参数中包含helper调用?

很抱歉写了这么长时间，非常感谢你的帮助

编辑:

根据jayrdub的回答，我用下面的方式

$("a.markAsDone").click(function (event) {
    event.preventDefault();
    $.ajax({
        type: "post",
        dataType: "html",
        url: $(this).attr("rel"),
        data: {
            AddAntiForgeryToken({}),
            id: parseInt($(this).attr("title"))
        },
        success: function (response) {
            // ....
        }
    });
});

当前回答

这是我见过的最简单的方法。注意:确保在视图中有“@Html.AntiForgeryToken()”

  $("a.markAsDone").click(function (event) {
        event.preventDefault();
        var sToken = document.getElementsByName("__RequestVerificationToken")[0].value;
        $.ajax({
            url: $(this).attr("rel"),
            type: "POST",
            contentType: "application/x-www-form-urlencoded",
            data: { '__RequestVerificationToken': sToken, 'id': parseInt($(this).attr("title")) }
        })
        .done(function (data) {
            //Process MVC Data here
        })
        .fail(function (jqXHR, textStatus, errorThrown) {
            //Process Failure here
        });
    });

2018-10-03 19:54:42

其他回答

AntiforgeryToken仍然是一个痛苦，上面的例子对我来说没有一个是逐字逐句的。那里的人太多了。所以我把它们结合起来。需要一个@Html。在iirc周围悬挂的表单中的防伪造令牌

解决方法如下:

function Forgizzle(eggs) {
    eggs.__RequestVerificationToken =  $($("input[name=__RequestVerificationToken]")[0]).val();
    return eggs;
}

$.ajax({
            url: url,
            type: 'post',
            data: Forgizzle({ id: id, sweets: milkway }),
});

当有疑问时，添加更多的$符号

2011-11-09 12:45:39

除了我对@JBall的回答的评论之外，这是对我有用的最终答案。我正在使用MVC和Razor，我正在使用jQuery AJAX提交一个表单，所以我可以更新一些新的结果的部分视图，我不想做一个完整的回发(和页面闪烁)。

像往常一样在表单中添加@Html.AntiForgeryToken()。

我的AJAX提交按钮代码(即一个onclick事件)是:

//User clicks the SUBMIT button
$("#btnSubmit").click(function (event) {

//prevent this button submitting the form as we will do that via AJAX
event.preventDefault();

//Validate the form first
if (!$('#searchForm').validate().form()) {
    alert("Please correct the errors");
    return false;
}

//Get the entire form's data - including the antiforgerytoken
var allFormData = $("#searchForm").serialize();

// The actual POST can now take place with a validated form
$.ajax({
    type: "POST",
    async: false,
    url: "/Home/SearchAjax",
    data: allFormData,
    dataType: "html",
    success: function (data) {
        $('#gridView').html(data);
        $('#TestGrid').jqGrid('setGridParam', { url: '@Url.Action("GetDetails", "Home", Model)', datatype: "json", page: 1 }).trigger('reloadGrid');
    }
});

我保留了“success”动作，因为它显示了包含MvcJqGrid的部分视图是如何被更新的，以及它是如何被刷新的(非常强大的jqGrid网格，这是一个出色的MVC包装器)。

我的控制器方法是这样的:

    //Ajax SUBMIT method
    [ValidateAntiForgeryToken]
    public ActionResult SearchAjax(EstateOutlet_D model) 
    {
        return View("_Grid", model);
    }

我必须承认，我不喜欢将整个表单的数据作为模型发布，但如果您需要这样做，那么这是一种可行的方法。MVC只是让数据绑定太容易，而不是提交16个单独的值(或一个弱类型的FormCollection)，这是可以的，我猜。如果你知道更好，请告诉我，因为我想产生健壮的MVC c#代码。

2013-09-07 14:12:33

这是我见过的最简单的方法。注意:确保在视图中有“@Html.AntiForgeryToken()”

  $("a.markAsDone").click(function (event) {
        event.preventDefault();
        var sToken = document.getElementsByName("__RequestVerificationToken")[0].value;
        $.ajax({
            url: $(this).attr("rel"),
            type: "POST",
            contentType: "application/x-www-form-urlencoded",
            data: { '__RequestVerificationToken': sToken, 'id': parseInt($(this).attr("title")) }
        })
        .done(function (data) {
            //Process MVC Data here
        })
        .fail(function (jqXHR, textStatus, errorThrown) {
            //Process Failure here
        });
    });

2018-10-03 19:54:42

我知道这个问题发布已经有一段时间了，但我发现了非常有用的资源，其中讨论了AntiForgeryToken的用法，并使其使用起来不那么麻烦。它还提供了jquery插件，可以轻松地在AJAX调用中包含防伪造令牌:

ASP的防伪请求配方。NET MVC和AJAX

我的贡献不大，但也许有人会觉得它有用。

2012-02-27 15:10:42

发现这个非常聪明的想法从https://gist.github.com/scottrippey/3428114为每$。Ajax调用它，修改请求并添加令牌。

// Setup CSRF safety for AJAX:
$.ajaxPrefilter(function(options, originalOptions, jqXHR) {
    if (options.type.toUpperCase() === "POST") {
        // We need to add the verificationToken to all POSTs
        var token = $("input[name^=__RequestVerificationToken]").first();
        if (!token.length) return;

        var tokenName = token.attr("name");

        // If the data is JSON, then we need to put the token in the QueryString:
        if (options.contentType.indexOf('application/json') === 0) {
            // Add the token to the URL, because we can't add it to the JSON data:
            options.url += ((options.url.indexOf("?") === -1) ? "?" : "&") + token.serialize();
        } else if (typeof options.data === 'string' && options.data.indexOf(tokenName) === -1) {
            // Append to the data string:
            options.data += (options.data ? "&" : "") + token.serialize();
        }
    }
});

2015-07-07 22:53:55

jQuery Ajax调用和Html.AntiForgeryToken()

推荐文章

最新文章

标签