我喜欢360Airwalk提供的解决方案，但它可能会有所改进。

第一个问题是，如果使用空数据创建$.post()， jQuery不会添加Content-Type标头。NET MVC无法接收和检查令牌。所以你必须确保页眉一直在那里。

另一个改进是支持所有带有内容的HTTP动词:POST、PUT、DELETE等。虽然可以在应用程序中只使用post，但最好有一个通用的解决方案，并验证使用任何谓词接收的所有数据都具有防伪造令牌。

$(document).ready(function () {
    var securityToken = $('[name=__RequestVerificationToken]').val();
    $(document).ajaxSend(function (event, request, opt) {
        if (opt.hasContent && securityToken) {   // handle all verbs with content
            var tokenParam = "__RequestVerificationToken=" + encodeURIComponent(securityToken);
            opt.data = opt.data ? [opt.data, tokenParam].join("&") : tokenParam;
            // ensure Content-Type header is present!
            if (opt.contentType !== false || event.contentType) {
                request.setRequestHeader( "Content-Type", opt.contentType);
            }
        }
    });
});

AntiforgeryToken仍然是一个痛苦，上面的例子对我来说没有一个是逐字逐句的。那里的人太多了。所以我把它们结合起来。需要一个@Html。在iirc周围悬挂的表单中的防伪造令牌

解决方法如下:

function Forgizzle(eggs) {
    eggs.__RequestVerificationToken =  $($("input[name=__RequestVerificationToken]")[0]).val();
    return eggs;
}

$.ajax({
            url: url,
            type: 'post',
            data: Forgizzle({ id: id, sweets: milkway }),
});

当有疑问时，添加更多的$符号

首先在html中使用@Html.AntiForgeryToken()

 $.ajax({
        url: "@Url.Action("SomeMethod", "SomeController")",
        type: 'POST',
        data: JSON.stringify(jsonObject),
        contentType: 'application/json; charset=utf-8',
        dataType: 'json',
        async: false,
        beforeSend: function (request) {
            request.setRequestHeader("RequestVerificationToken", $("[name='__RequestVerificationToken']").val());
        },
        success: function (msg) {
            alert(msg);
        }

好吧，这里有很多帖子，没有一个对我有帮助，一天又一天的谷歌，仍然没有进一步的我得到的点wr-从头开始编写整个应用程序，然后我注意到这个小块在我的web .conf

 <httpCookies requireSSL="false" domain="*.localLookup.net"/>

现在我不知道为什么我添加了它，但我已经注意到，它在调试模式下被忽略，而不是在生产模式下(IE安装到IIS某处)

对我来说，解决方案是2个选项之一，因为我不记得我为什么添加它，我不能确定其他事情不依赖于它，第二域名必须全部小写，TLD不像我在*.localLookup.net中做的那样

也许有用，也许没有。我希望它能帮助到一些人

这是我见过的最简单的方法。注意:确保在视图中有“@Html.AntiForgeryToken()”

  $("a.markAsDone").click(function (event) {
        event.preventDefault();
        var sToken = document.getElementsByName("__RequestVerificationToken")[0].value;
        $.ajax({
            url: $(this).attr("rel"),
            type: "POST",
            contentType: "application/x-www-form-urlencoded",
            data: { '__RequestVerificationToken': sToken, 'id': parseInt($(this).attr("title")) }
        })
        .done(function (data) {
            //Process MVC Data here
        })
        .fail(function (jqXHR, textStatus, errorThrown) {
            //Process Failure here
        });
    });

我知道这个问题发布已经有一段时间了，但我发现了非常有用的资源，其中讨论了AntiForgeryToken的用法，并使其使用起来不那么麻烦。它还提供了jquery插件，可以轻松地在AJAX调用中包含防伪造令牌:

ASP的防伪请求配方。NET MVC和AJAX

我的贡献不大，但也许有人会觉得它有用。