好吧，这里有很多帖子，没有一个对我有帮助，一天又一天的谷歌，仍然没有进一步的我得到的点wr-从头开始编写整个应用程序，然后我注意到这个小块在我的web .conf

 <httpCookies requireSSL="false" domain="*.localLookup.net"/>

现在我不知道为什么我添加了它，但我已经注意到，它在调试模式下被忽略，而不是在生产模式下(IE安装到IIS某处)

对我来说，解决方案是2个选项之一，因为我不记得我为什么添加它，我不能确定其他事情不依赖于它，第二域名必须全部小写，TLD不像我在*.localLookup.net中做的那样

也许有用，也许没有。我希望它能帮助到一些人

我喜欢360Airwalk提供的解决方案，但它可能会有所改进。

第一个问题是，如果使用空数据创建$.post()， jQuery不会添加Content-Type标头。NET MVC无法接收和检查令牌。所以你必须确保页眉一直在那里。

另一个改进是支持所有带有内容的HTTP动词:POST、PUT、DELETE等。虽然可以在应用程序中只使用post，但最好有一个通用的解决方案，并验证使用任何谓词接收的所有数据都具有防伪造令牌。

$(document).ready(function () {
    var securityToken = $('[name=__RequestVerificationToken]').val();
    $(document).ajaxSend(function (event, request, opt) {
        if (opt.hasContent && securityToken) {   // handle all verbs with content
            var tokenParam = "__RequestVerificationToken=" + encodeURIComponent(securityToken);
            opt.data = opt.data ? [opt.data, tokenParam].join("&") : tokenParam;
            // ensure Content-Type header is present!
            if (opt.contentType !== false || event.contentType) {
                request.setRequestHeader( "Content-Type", opt.contentType);
            }
        }
    });
});

我知道这个问题发布已经有一段时间了，但我发现了非常有用的资源，其中讨论了AntiForgeryToken的用法，并使其使用起来不那么麻烦。它还提供了jquery插件，可以轻松地在AJAX调用中包含防伪造令牌:

ASP的防伪请求配方。NET MVC和AJAX

我的贡献不大，但也许有人会觉得它有用。

发现这个非常聪明的想法从https://gist.github.com/scottrippey/3428114为每$。Ajax调用它，修改请求并添加令牌。

// Setup CSRF safety for AJAX:
$.ajaxPrefilter(function(options, originalOptions, jqXHR) {
    if (options.type.toUpperCase() === "POST") {
        // We need to add the verificationToken to all POSTs
        var token = $("input[name^=__RequestVerificationToken]").first();
        if (!token.length) return;

        var tokenName = token.attr("name");

        // If the data is JSON, then we need to put the token in the QueryString:
        if (options.contentType.indexOf('application/json') === 0) {
            // Add the token to the URL, because we can't add it to the JSON data:
            options.url += ((options.url.indexOf("?") === -1) ? "?" : "&") + token.serialize();
        } else if (typeof options.data === 'string' && options.data.indexOf(tokenName) === -1) {
            // Append to the data string:
            options.data += (options.data ? "&" : "") + token.serialize();
        }
    }
});

AntiforgeryToken仍然是一个痛苦，上面的例子对我来说没有一个是逐字逐句的。那里的人太多了。所以我把它们结合起来。需要一个@Html。在iirc周围悬挂的表单中的防伪造令牌

解决方法如下:

function Forgizzle(eggs) {
    eggs.__RequestVerificationToken =  $($("input[name=__RequestVerificationToken]")[0]).val();
    return eggs;
}

$.ajax({
            url: url,
            type: 'post',
            data: Forgizzle({ id: id, sweets: milkway }),
});

当有疑问时，添加更多的$符号

我发现的解决方案不是针对ASPX，而是针对剃刀，但相当可行的问题。

我通过在请求中添加AntiForgery解决了这个问题。HTML Helper不会用调用创建HTML id

@Html.AntiForgeryToken()

为了将令牌添加到postrequest，我只是用jquery添加了AntiForgery id到隐藏字段:

$("input[name*='__RequestVerificationToken']").attr('id', '__AjaxAntiForgeryForm');

这导致控制器接受带有[ValidateAntiForgeryToken]属性的请求