Question

Можно ли иметь жетоны против подделки без форм?У меня есть пост-вызов ajax, который я хотел бы сделать, для которого требуется токен анти-подделки.Тем не менее, большинство примеров, которые я видел, требуют формы.Это то, что я имею до сих пор:

<script>
    $(document).ready(function () {
        var SessionId = document.getElementById("Id").value;
        var form_data = {
            "SessionId": SessionId
        };
        $.ajax({
            url: "@Url.Action("GetHistory", @ViewContext.RouteData.Values["controller"].ToString())",
            method: "POST",
            data: JSON.stringify(form_data),
            contentType: "application/json",
            success: function (result) {
                console.log(result);
                var output = JSON.parse(result);
                for (var i = 0; i < output.length; i++) {
                    var p = document.createElement("span");
                    var q = document.createElement("li");
                    if (output[i].Mine == true) {
                        p.setAttribute("class", "Sender Me");
                        q.setAttribute("class", "Message");
                    } else {
                        p.setAttribute("class", "Sender");
                        q.setAttribute("class", "Message");
                    }
                    p.textContent = output[i].Name + " - " + moment(output[i].CreatedOn).format("DD-MM-YYYY HH:mm:ss");
                    q.textContent = output[i].Message;
                    document.getElementById("MessageList").appendChild(p);
                    document.getElementById("MessageList").appendChild(q);
                }

            },
            error: function (error) {
                console.log(error);
            }
        });

        $('#MessageList').stop().animate({
            scrollTop: $('#MessageList')[0].scrollHeight
        }, 2000);
        return false;
    });
</script>

Это просто получает свой ввод из текстового поля и кнопки, которая не прикреплена к форме.

TempoClick · Answer 1 · 29 января 2019

Вам нужно добавить его вручную.Попробуйте это:

var token = $("[name='__RequestVerificationToken']").val();

А затем опубликуйте его со своими данными:

data: { __RequestVerificationToken: token, JSON.stringify(form_data) }

РЕДАКТИРОВАТЬ:

Как уже упоминалось @AndresAbel, вы можете скопировать токен из формы и отправить его в ajax-сообщении:

@using (Html.BeginForm(null, null, FormMethod.Post, new { id = "__AjaxAntiForgeryForm" })) { @Html.AntiForgeryToken() }

Затем в вашем скрипте:

var token = $('input[name="__RequestVerificationToken"]', $('#__AjaxAntiForgeryForm')).val();

Затем отправьте его в формате ajax:

data: { __RequestVerificationToken: token, JSON.stringify(form_data) }

Не забудьте добавить аннотацию [ValidateAntiForgeryToken] для вашего метода в контроллере.

Xing Zou · Answer 2 · 30 января 2019

Ajax-запрос может отправить токен защиты от подделки в заголовке запроса на сервер. Ссылка на решение в Обработка Ajax-запросов на страницах ASP.NET Core Razor .

<script type="text/javascript">
    function gettoken() {
        var token = '@Html.AntiForgeryToken()';
        token = $(token).val();
        return token;
        }   
</script>
<script>
$(document).ready(function () {
    var SessionId = document.getElementById("Id").value;
    var form_data = {
        "SessionId": SessionId
    };

    var headers = {};
    headers['XSRF-TOKEN'] = gettoken();//header name could be changed
    $.ajax({
        url: "/Home/testPost",
        method: "POST",
        data: JSON.stringify(form_data),          
        headers:headers,
        contentType: "application/json",


        success: function (result) {
            console.log(result);
            //...
        },
        error: function (error) {
            console.log(error);
        }
    });
   //...

});

Тогдавам нужно настроить службу защиты от подделки для поиска заголовка XSRF-TOKEN, который вы определили:

public void ConfigureServices(IServiceCollection services)
{
  services.AddMvc();
  services.AddAntiforgery(o => o.HeaderName = "XSRF-TOKEN");
}

Конечно, вам нужно использовать правильную привязку модели и атрибут [ValidateAntiForgeryToken] для своего действия.

Anders Abel · Answer 3 · 29 января 2019

AntiforgeryToken предназначен для предотвращения подделки межсайтовых запросов.Таким образом, вы должны действительно использовать это.Самый простой способ получить его в jQuery - это отобразить на странице фиктивную скрытую форму.Затем вы можете использовать свой javaScript, чтобы скопировать токен из фиктивной формы и включить его в свой пост ajax.

Токен ASP.NET Core Antiforgery без формы

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Токен ASP.NET Core Antiforgery без формы

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов