MVCで偽造防止トークンを使用してAjaxリクエストを作成する方法
MVCプロジェクトの以下の詳細に問題があります。
回転するgif(またはテキスト)のような読み込みパネルでjquery ajaxリクエストを使用しようとすると、フィドラーから観察されるエラーが発生します。
必須の偽造防止フォームフィールド「__RequestVerificationToken」が存在しません。
私がコメントする場合[ValidateAntiForgeryToken] attribute at POSTアクションメソッドとロードパネルを使用すると正常に動作します。このエラーが発生する理由を知りたいのですが。
私もシリアル化されたクエリ文字列を使用しました
__RequestVerificationToken= $('input[name="__RequestVerificationToken"').val()
それでも私はエラーが発生しています
偽造防止トークンを復号化できませんでした。このアプリケーションがWebファームまたはクラスターによってホストされている場合、すべてのマシンが同じバージョンのASP.NET Webページを実行していること、および
<machineKey>構成は、明示的な暗号化キーと検証キーを指定します。
AutoGenerateはクラスターでは使用できません
何を使うべきですか?
ここで質問コードを更新しました
var token = $('input[name="__RequestVerificationToken"]').val();
$('#submitaddress').click(function subaddr(event) {
event.preventDefault();
event.stopPropagation();
//$('#addAddress').html('<img src="/img/animated-overlay.gif"> Sending...');
// $('#addAddress').blur();
// $(this).bl
if ($('#Jobid').val()!="") {
$('#TransportJobId').val(parseInt($('#Jobid').val()));
$.ajax(
{
url: '/TransportJobAddress/create',
type: 'POST',
data: "__RequestVerificationToken=" + token + "" + $('form[action="/TransportJobAddress/Create"]').serialize(),
success: function poste(data, textStatus, jqXHR) { $('#addAddress').html(data); return false; },
error: function err(jqXHR, textStatus, errorThrown) { alert('error at address :' + errorThrown); }
});
}
else {
var transportid = 2;
$.ajax({
url: '/TransportJob/create',
type: 'POST',
data: "__RequestVerificationToken=" + token + "" + $('form[action="/TransportJob/Create"]').serialize(),
success: function sfn(data, textStatus, jqXHR) {
transportid = parseInt(data);
$('#Jobid').val(data);
// alert('inserted id :' + data);
$('#TransportJobId').val((transportid));
$.ajax(
{
url: '/TransportJobAddress/create',
type: 'POST',
//beforeSend: function myintserver(xhr){
// $('#addAddress').html('<div id="temp_load" style="text-align:center">please wait ...</div>');
//},
data: "__RequestVerificationToken=" + token + "" + $('form[action="/TransportJobAddress/Create"]').serialize(),
success: function poste(data, textStatus, jqXHR) {
$('#addAddress').html(data);
},
error: function err(jqXHR, textStatus, errorThrown) {
alert('error at address :' + errorThrown);
}
});
},
error: function myfunction(jqXHR, textStatus, errorThrown) {
alert("error at transport :" + jqXHR.textStatus);
},
complete: function completefunc() {
// alert('ajax completed all requests');
return false;
}
});
}
});
フォームタグ
<form action="/TransportJob/Create" method="post"><input name="__RequestVerificationToken" type="hidden" value="ydYSei0_RfyBf619dQrhDwwoCM7OwWkJQQEMNvNdAkefiFfYvRQ0MJYYu0zkktNxlJk_y1ZJO9-yb- COap8mqd0cvh8cDYYik4HJ0pZXTgE1" />
同じページのTransportJobフォームタグ2
<form action="/TransportJobAddress/Create" method="post" novalidate="novalidate"><input name="__RequestVerificationToken" type="hidden" value="Np2vUZJPk1TJlv846oPSU6hg4SjMHRcCk1CacaqZbpHOg8WbV4GZv06noRDl7F_iT9qQf3BIXo3n9wGW68sU mki7g3-ku_BSHBDN-g2aaKc1">
Ajax呼び出しのヘッダーにトークンを追加しましたか?
Ajax呼び出しのメッセージヘッダーにAntiForgeryTokenを追加する必要があります。
var token = $('input[name="__RequestVerificationToken"]').val();
var headers = {};
headers['__RequestVerificationToken'] = token;
$.ajax({
url: ... some url,
headers: headers,
....
});
あなたのコードでこれを試してください:
var token = $('input[name="__RequestVerificationToken"]').val();
var tokenadr = $('form[action="/TransportJobAddress/Create"] input[name="__RequestVerificationToken"]').val();
var headers = {};
var headersadr = {};
headers['__RequestVerificationToken'] = token;
headersadr['__RequestVerificationToken'] = tokenadr;
$('#submitaddress').click(function subaddr(event) {
event.preventDefault();
event.stopPropagation();
//$('#addAddress').html('<img src="/img/animated-overlay.gif"> Sending...');
// $('#addAddress').blur();
// $(this).bl
if ($('#Jobid').val()!="") {
$('#TransportJobId').val(parseInt($('#Jobid').val()));
$.ajax(
{
url: '/TransportJobAddress/create',
type: 'POST',
headers:headersadr,
data: "__RequestVerificationToken=" + token + "" + $('form[action="/TransportJobAddress/Create"]').serialize(),
success: function poste(data, textStatus, jqXHR) { $('#addAddress').html(data); return false; },
error: function err(jqXHR, textStatus, errorThrown) { alert('error at address :' + errorThrown); }
});
}
else {
var transportid = 2;
$.ajax({
url: '/TransportJob/create',
type: 'POST',
headers:headers,
data: $('form[action="/TransportJob/Create"]').serialize(),
success: function sfn(data, textStatus, jqXHR) {
transportid = parseInt(data);
$('#Jobid').val(data);
// alert('inserted id :' + data);
$('#TransportJobId').val((transportid));
$.ajax(
{
url: '/TransportJobAddress/create',
type: 'POST',
//beforeSend: function myintserver(xhr){
// $('#addAddress').html('<div id="temp_load" style="text-align:center">please wait ...</div>');
//},
headers:headers,
data: $('form[action="/TransportJobAddress/Create"]').serialize(),
success: function poste(data, textStatus, jqXHR) {
$('#addAddress').html(data);
},
error: function err(jqXHR, textStatus, errorThrown) {
alert('error at address :' + errorThrown);
}
});
},
error: function myfunction(jqXHR, textStatus, errorThrown) {
alert("error at transport :" + jqXHR.textStatus);
},
complete: function completefunc() {
// alert('ajax completed all requests');
return false;
}
});
}
});
Ajax呼び出しにヘッダー行を追加しました。
各リクエストに手動で追加するのではなく、通常、次のようなことを行います。
var token = $('input[name="__RequestVerificationToken"]').val();
$.ajaxPrefilter(function (options, originalOptions) {
if (options.type.toUpperCase() == "POST") {
options.data = $.param($.extend(originalOptions.data, { __RequestVerificationToken: token }));
}
});
これにより、トークンが自動的にany ajax POST=に追加されます。
トークンをビューに追加しましたか?このような:
<form method="post" action="/my-controller/my-action">
@Html.AntiForgeryToken()
</form>
投稿を受け取ったコントローラーは偽造防止トークンを探しているため、ビュー内のフォームに追加する必要があります。
編集:
最初にJSONでデータを作成してみてください。
var formData = $('form[action="/TransportJobAddress/Create"]').serialize();
$.extend(formData, {'__RequestVerificationToken': token });
//and then in your ajax call:
$.ajax({
//...
data:formData
//...
});
表示またはレイアウト:
<form id = '_ id' method = 'POST'> @ html.antiforgeryToken(); </ form>
ajax呼び出し関数:
var data={...};
var token=$('#_id').serializeObject();
var dataWithAntiforgeryToken = $.extend(data,token);
$.ajax(
{
....,
data: dataWithAntiforgeryToken;
}
)
Ajaxと通常のリクエストの両方を保護したかったので、ここに私が出したものを示します。
最初に haacked.com の優れたブログを使用して、説明どおりにConditionalFilterProviderを作成しました。
次に、ブログで説明されているように、すべてのクラスを codethinked から作成しました。
_layoutページで、ブログで説明されているように$ .ajaxPrefilterを使用して作品を追加しました...これにより、すべてのAjaxコールバックがヘッダーを介してAntiforgeryトークンを送信するようになります。
すべてを接着するために、このコードをglobal.asax/Application_Startに追加しました
(c, a) =>
(c.HttpContext.Request.IsAjaxRequest() &&
!string.Equals(c.HttpContext.Request.HttpMethod, "GET"))
? new AjaxValidateAntiForgeryTokenAttribute()
: null,
(c, a) =>
(!c.HttpContext.Request.IsAjaxRequest() &&
string.Equals(c.HttpContext.Request.HttpMethod, "POST", StringComparison.OrdinalIgnoreCase))
? new ValidateAntiForgeryTokenAttribute()
: null
基本的に.. GETではないすべてのコントローラーに属性を注入します。
その後、すべての(非常に少数の)フォームに移動して、@ Html.AntiForgeryToken()を追加する必要がありました。
すべてが機能していることを証明するために、AntiForgeryTokenのないフォームで物事を隠し、予期される例外を取得しようとしています。そして、$。ajaxPrefilterを削除してAjaxリクエストを作成すると、予想される例外が受信されました。