好吧，这里有很多帖子，没有一个对我有帮助，一天又一天的谷歌，仍然没有进一步的我得到的点wr-从头开始编写整个应用程序，然后我注意到这个小块在我的web .conf

 <httpCookies requireSSL="false" domain="*.localLookup.net"/>

现在我不知道为什么我添加了它，但我已经注意到，它在调试模式下被忽略，而不是在生产模式下(IE安装到IIS某处)

对我来说，解决方案是2个选项之一，因为我不记得我为什么添加它，我不能确定其他事情不依赖于它，第二域名必须全部小写，TLD不像我在*.localLookup.net中做的那样

也许有用，也许没有。我希望它能帮助到一些人

不要使用Html.AntiForgeryToken。相反，使用反伪造技术。GetTokens和AntiForgery。在ASP中防止跨站请求伪造(CSRF)攻击中描述的从Web API验证。NET MVC应用程序。

我使用了一个简单的js函数

AddAntiForgeryToken = function(data) {
    data.__RequestVerificationToken = $('#__AjaxAntiForgeryForm input[name=__RequestVerificationToken]').val();
    return data;
};

由于页面上的每个表单都有相同的令牌值，所以只需在最顶部的母版页中添加如下内容即可

<%-- used for ajax in AddAntiForgeryToken() --%>
<form id="__AjaxAntiForgeryForm" action="#" method="post"><%= Html.AntiForgeryToken()%></form>  

然后在ajax调用do(编辑以匹配第二个示例)

$.ajax({
    type: "post",
    dataType: "html",
    url: $(this).attr("rel"),
    data: AddAntiForgeryToken({ id: parseInt($(this).attr("title")) }),
    success: function (response) {
        // ....
    }
});

好吧，这里有很多帖子，没有一个对我有帮助，一天又一天的谷歌，仍然没有进一步的我得到的点wr-从头开始编写整个应用程序，然后我注意到这个小块在我的web .conf

 <httpCookies requireSSL="false" domain="*.localLookup.net"/>

现在我不知道为什么我添加了它，但我已经注意到，它在调试模式下被忽略，而不是在生产模式下(IE安装到IIS某处)

对我来说，解决方案是2个选项之一，因为我不记得我为什么添加它，我不能确定其他事情不依赖于它，第二域名必须全部小写，TLD不像我在*.localLookup.net中做的那样

也许有用，也许没有。我希望它能帮助到一些人

我知道这个问题发布已经有一段时间了，但我发现了非常有用的资源，其中讨论了AntiForgeryToken的用法，并使其使用起来不那么麻烦。它还提供了jquery插件，可以轻松地在AJAX调用中包含防伪造令牌:

ASP的防伪请求配方。NET MVC和AJAX

我的贡献不大，但也许有人会觉得它有用。

我只是在我当前的项目中实现了这个实际问题。我做的所有ajax- post，需要一个认证用户。

首先，我决定钩我的jquery ajax调用，所以我不重复自己太频繁。这个javascript代码片段确保所有ajax (post)调用都会将我的请求验证令牌添加到请求中。注意:名字__RequestVerificationToken是由. net框架使用的，所以我可以利用标准的Anti-CSRF特性，如下所示。

$(document).ready(function () {
    var securityToken = $('[name=__RequestVerificationToken]').val();
    $('body').bind('ajaxSend', function (elm, xhr, s) {
        if (s.type == 'POST' && typeof securityToken != 'undefined') {
            if (s.data.length > 0) {
                s.data += "&__RequestVerificationToken=" + encodeURIComponent(securityToken);
            }
            else {
                s.data = "__RequestVerificationToken=" + encodeURIComponent(securityToken);
            }
        }
    });
});

在你的视图中，你需要令牌对上面的javascript可用，只需使用通用的HTML-Helper。基本上，您可以在任何需要的地方添加此代码。我把它放在if(Request.IsAuthenticated)语句中:

@Html.AntiForgeryToken() // you can provide a string as salt when needed which needs to match the one on the controller

在你的控制器中简单地使用标准的ASP。Net MVC Anti-CSRF机制。我是这样做的(尽管我实际上使用了Salt)。

[HttpPost]
[Authorize]
[ValidateAntiForgeryToken]
public JsonResult SomeMethod(string param)
{
    // do something
    return Json(true);
}

使用Firebug或类似的工具，你可以很容易地看到你的POST请求现在有一个__RequestVerificationToken参数附加。