Токен ASP.NET MVC для защиты от подделки (CSRF) не работает

Question

Я пытаюсь внедрить токен CSRF в свой код, но пока безуспешно. Я понял, что есть три шага:

Мой код для формы для отправки:

@using (Html.BeginForm("Manage", "Account"))
{
    @Html.AntiForgeryToken()
}

В моем контроллере я написал:

public class HomeController : Controller
    {
    [HttpPost]
    [ValidateAntiForgeryToken] 

public ActionResult Index()
    {

        return View("Table");
    } 
    etc...
    }

и мой вызов ajax:

$.ajax({
            type: "POST",
            url: "../Home/" + sFunction,
            contentType: "application/json; charset=utf-8",
            processData: false,
            dataType: "json",
            headers: { "__RequestVerificationToken": 
            $('input[name=__RequestVerificationToken]').val() },
            data: data === null ? null : JSON.stringify(data),

и т.д.

Чего мне не хватает? почему не работает? Спасибо

Answer 1

[ValidateAntiForgeryToken] необходимо украсить вашу форму сообщения. Не ваш метод индекса GET. В этом случае ...

[HttpPost]
[ValidateAntiForgeryToken]
public ActionResult Manage(YourViewModel model)
{
    //do your logic

    return View(//whatever route & model)
}

и вы добавляете это в свой объект данных.

let form = //get your form control here
let data = $(form).serialize();//form is your form control
data.__RequestVerificationToken = $('input[name=__RequestVerificationToken]').val();

$.ajax({
        type: "POST",
        url: //controller/action,
        contentType: "application/x-www-form-urlencoded",
        processData: false,
        dataType: "json",
        data: JSON.stringify(data),
        //etc....
});