function DeletePersonel(id) {

    var data = new FormData();
    data.append("__RequestVerificationToken", "@HtmlHelper.GetAntiForgeryToken()");

    $.ajax({
        type: 'POST',
        url: '/Personel/Delete/' + id,
        data: data,
        cache: false,
        processData: false,
        contentType: false,
        success: function (result) {
        }
    });
}

public static class HtmlHelper {
    public static string GetAntiForgeryToken() {
        System.Text.RegularExpressions.Match value = 
                System.Text.RegularExpressions.Regex.Match(System.Web.Helpers.AntiForgery.GetHtml().ToString(), 
                        "(?:value=\")(.*)(?:\")");
        if (value.Success) {
            return value.Groups[1].Value;
        }
        return "";
    }
}

我认为你所要做的就是确保“__RequestVerificationToken”输入包含在POST请求中。另一半信息(即用户cookie中的令牌)已经通过AJAX POST请求自动发送。

例如,

$("a.markAsDone").click(function (event) {
    event.preventDefault();
    $.ajax({
        type: "post",
        dataType: "html",
        url: $(this).attr("rel"),
        data: { 
            "__RequestVerificationToken":
            $("input[name=__RequestVerificationToken]").val() 
        },
        success: function (response) {
            // ....
        }
    });
});

我使用了一个简单的js函数

AddAntiForgeryToken = function(data) {
    data.__RequestVerificationToken = $('#__AjaxAntiForgeryForm input[name=__RequestVerificationToken]').val();
    return data;
};

由于页面上的每个表单都有相同的令牌值，所以只需在最顶部的母版页中添加如下内容即可

<%-- used for ajax in AddAntiForgeryToken() --%>
<form id="__AjaxAntiForgeryForm" action="#" method="post"><%= Html.AntiForgeryToken()%></form>  

然后在ajax调用do(编辑以匹配第二个示例)

$.ajax({
    type: "post",
    dataType: "html",
    url: $(this).attr("rel"),
    data: AddAntiForgeryToken({ id: parseInt($(this).attr("title")) }),
    success: function (response) {
        // ....
    }
});

除了我对@JBall的回答的评论之外，这是对我有用的最终答案。我正在使用MVC和Razor，我正在使用jQuery AJAX提交一个表单，所以我可以更新一些新的结果的部分视图，我不想做一个完整的回发(和页面闪烁)。

像往常一样在表单中添加@Html.AntiForgeryToken()。

我的AJAX提交按钮代码(即一个onclick事件)是:

//User clicks the SUBMIT button
$("#btnSubmit").click(function (event) {

//prevent this button submitting the form as we will do that via AJAX
event.preventDefault();

//Validate the form first
if (!$('#searchForm').validate().form()) {
    alert("Please correct the errors");
    return false;
}

//Get the entire form's data - including the antiforgerytoken
var allFormData = $("#searchForm").serialize();

// The actual POST can now take place with a validated form
$.ajax({
    type: "POST",
    async: false,
    url: "/Home/SearchAjax",
    data: allFormData,
    dataType: "html",
    success: function (data) {
        $('#gridView').html(data);
        $('#TestGrid').jqGrid('setGridParam', { url: '@Url.Action("GetDetails", "Home", Model)', datatype: "json", page: 1 }).trigger('reloadGrid');
    }
});

我保留了“success”动作，因为它显示了包含MvcJqGrid的部分视图是如何被更新的，以及它是如何被刷新的(非常强大的jqGrid网格，这是一个出色的MVC包装器)。

我的控制器方法是这样的:

    //Ajax SUBMIT method
    [ValidateAntiForgeryToken]
    public ActionResult SearchAjax(EstateOutlet_D model) 
    {
        return View("_Grid", model);
    }

我必须承认，我不喜欢将整个表单的数据作为模型发布，但如果您需要这样做，那么这是一种可行的方法。MVC只是让数据绑定太容易，而不是提交16个单独的值(或一个弱类型的FormCollection)，这是可以的，我猜。如果你知道更好，请告诉我，因为我想产生健壮的MVC c#代码。

不要使用Html.AntiForgeryToken。相反，使用反伪造技术。GetTokens和AntiForgery。在ASP中防止跨站请求伪造(CSRF)攻击中描述的从Web API验证。NET MVC应用程序。

我发现的解决方案不是针对ASPX，而是针对剃刀，但相当可行的问题。

我通过在请求中添加AntiForgery解决了这个问题。HTML Helper不会用调用创建HTML id

@Html.AntiForgeryToken()

为了将令牌添加到postrequest，我只是用jquery添加了AntiForgery id到隐藏字段:

$("input[name*='__RequestVerificationToken']").attr('id', '__AjaxAntiForgeryForm');

这导致控制器接受带有[ValidateAntiForgeryToken]属性的请求