11

私はで深刻な問題に直面してい@Html.AntiForgeryToken()ます。新しいメンバーを作成/登録するための作成ビューを持つ登録コントローラーがあります。そのため@Html.AntiForgeryToken()、メインの送信フォームでSALTを使用せずに使用しました。ここで、ユーザー名テキストボックスのblurイベントでデータベースに既に存在する場合は、ユーザー名を検証したいと思います。この検証のために、「Validation」という名前の新しいコントローラーを作成し、一定の検証SALTを使用してメソッドを作成しました。

 [HttpPost]
    [ValidateAntiForgeryToken(Salt = @ApplicationEnvironment.SALT)]
    public ActionResult username(string log) {
        try {
            if (log == null || log.Length < 3)
                return Json(log, JsonRequestBehavior.AllowGet);

            var member = Membership.GetUser(log);

            if (member == null) {
                //string userPattern = @"^([a-zA-Z])[a-zA-Z_-]*[\w_-]*[\S]$|^([a-zA-Z])[0-9_-]*[\S]$|^[a-zA-Z]*[\S]$";
                string userPattern = "[A-Za-z][A-Za-z0-9._]{3,80}";
                if (Regex.IsMatch(log, userPattern))
                    return Json(log, JsonRequestBehavior.AllowGet);
            }

        } catch (Exception ex) {
            CustomErrorHandling.HandleErrorByEmail(ex, "Validate LogName()");
            return Json(log, JsonRequestBehavior.AllowGet);
        }
        //found e false
        return Json(log, JsonRequestBehavior.AllowGet);

    }

メソッドは正常に機能しています。を使用せずにHTTPGetアノテーションを確認したところ[ValidateAntiForgeryToken]、期待どおりの結果が得られました。

私はグーグルで検索し、与えられたソリューションの多くをチェックしましたが、これらはどれも機能していません。検証コントローラーでは、同じページで別のフォームを使用し、偽造防止トークンでSALTを使用しました。

:メインの送信フォームの最初の偽造防止トークン:

@using(Html.BeginForm( "Create"、 "Register")){@ Html.AntiForgeryToken()@ Html.ValidationSummary(true)...}

2番目の偽造防止トークン:

<form id="__AjaxAntiForgeryForm" action="#" method="post">
    @Html.AntiForgeryToken(SALT)
</form>

そしてjavascriptで私はこれを使用しました

<script type="text/javascript" defer="defer">
    $(function () {
        AddAntiForgeryToken = function (data) {
            data.__RequestVerificationToken = $('#__AjaxAntiForgeryForm input[name=__RequestVerificationToken]').val();
            return data;
        };

        if ($("#LogName").length > 0) {

            $("#LogName").blur(function () {
                var user = $("#LogName").val();
                var logValidate = "/Validation/username/";
                //var URL = logValidate + user;
                //var token = $('#validation input[name=__RequestVerificationToken]').val();
                data = AddAntiForgeryToken({ log: user });

                $.ajax({
                    type: "POST",
                    dataType: "JSON",
                    url: logValidate,
                    data: data,
                    success: function (response) {
                        alert(response);
                    }
                });

            });

        }
    });
</script>

私のfirebugで私はこれを手に入れました:

log=admin&__RequestVerificationToken=NO8Kds6B2e8bexBjesKlwkSexamsruZc4HeTnFOlYL4Iu6ia%2FyH7qBJcgHusekA50D7TVvYj%2FqB4eZp4VDFlfA6GN5gRz7PB%2ByZ0AxtxW4nT0E%2FvmYwn7Fvo4GzS2ZAhsGLyQC098dfIJaWCSiPcc%2FfD00FqKxjvnqmxhXvnEx2Ye83LbfqA%2F4XTBX8getBeodwUQNkcNi6ZtAJQZ79ySg%3D%3D

渡されたとおりですが、Cookieセクションで、渡したものとは異なるCookieを取得しました。実際のCookie:

ws5Dt2if6Hsah rW2nDly P3cW1smIdp1Vau 0TXOK1w0ctr0BCso/nbYu w9blq/QcrXxQLDLAlKBC3Tyhp5ECtK MxF4hhPpzoeByjROUG0NDJfCAlqVVwV5W6lw9ZFp/VBcQmwBCzBM/36UTBWmWn6pMM2bqnyoqXOK4aUZ4=

これは、1ページに2つの偽造防止トークンを使用したためだと思います。ただし、最初の1つは送信を実行するために生成され、次の1つは検証を検証する必要があるため、私の考えでは2を使用する必要があります。しかし、これは私の推測であり、私は間違っていると思います。このため、皆さんの助けが必要です。

偽造防止を2つまたは1つ使用する必要があるという事実を誰かが説明できますか?

よろしくお願いします。

4

1 に答える 1

9

最後に、8時間の苦労が私に解決策を与えてくれます。

まず最初に、はい、ページで2つの偽造防止トークンを使用しても害はありません。そして第二に、Cookieを提供トークンと一致させる必要はありません。トークンの提供は常に異なり、サーバーで検証されます。

アクション動詞を使用すると、偽造防止トークンは機能しません[HttpGet]。偽造防止の検証プロセスでは Request.Form['__RequestVerificationToken']、リクエストから値を取得することでトークンが検証されるためです。ref:Steven Sandersonのブログ:クロスを防ぐ...

解決策

私はコントローラーを変更します:

[HttpPost]

        [ValidateAntiForgeryToken(Salt = @ApplicationEnvironment.SALT)]
//change the map route values to accept this parameters.
        public ActionResult username(string id, string __RequestVerificationToken) {
        string returnParam = __RequestVerificationToken;

        try {
            if (id == null || id.Length < 3)
                return Json(returnParam, JsonRequestBehavior.AllowGet);

            var member = Membership.GetUser(id);

            if (member == null) {
                //string userPattern = @"^([a-zA-Z])[a-zA-Z_-]*[\w_-]*[\S]$|^([a-zA-Z])[0-9_-]*[\S]$|^[a-zA-Z]*[\S]$";
                string userPattern = "[A-Za-z][A-Za-z0-9._]{3,80}";
                if (Regex.IsMatch(id, userPattern))
                    return Json(returnParam, JsonRequestBehavior.AllowGet);
            }

        } catch (Exception ex) {
            CustomErrorHandling.HandleErrorByEmail(ex, "Validate LogName()");
            return Json(returnParam, JsonRequestBehavior.AllowGet);
        }
        //found e false
        return Json(returnParam, JsonRequestBehavior.AllowGet);
    }

同じページの私の最初のフォーム:

@using (Html.BeginForm("Create", "Register")) {

    @Html.AntiForgeryToken(ApplicationEnvironment.SALT)

    @Html.ValidationSummary(true)
    ....
}

同じページの私の2番目のフォーム:

**<form id="validation">
    <!-- there is harm in using 2 anti-forgery tokens in one page-->
    @Html.AntiForgeryToken(ApplicationEnvironment.SALT)
    <input type="hidden" name="id" id="id" value="" />
</form>**

このことを解決するための私のjQuery:

 $("#LogName").blur(function () {
            var user = $("#LogName").val();
            var logValidate = "/Validation/username/";
            $("#validation #id").val(user);
            **var form = $("#validation").serialize(); // a form is very important to verify anti-forgery token and data must be send in a form.**

            var token = $('input[name=__RequestVerificationToken]').val();

            $.ajax({
                **type: "POST", //method must be POST to validate anti-forgery token or else it won't work.**
                dataType: "JSON",
                url: logValidate,
                data: form,
                success: function (response) {
                    alert(response);
                }
            });
        });
于 2012-09-09T19:45:01.663 に答える