問題タブ [antiforgerytoken]

すべての ajax 投稿のすべてのアクションに偽造防止トークンが含まれるように、グリッドを設定しようとしています。私のガードは次のように設定されています：

OnDataBinding (Test) のハンドラーは次のようになります。

引数 (e) に​​は、値の辞書を受け入れる data というプロパティがあると思いました。しかし、FireBug は「データが定義されていません」と文句を言い続けています。すべてのリクエストにトークンを含める方法はありますか? バージョン 2011.Q2.712 を使用しています。ありがとう。

MVC2 アプリケーションがあります。CSRF 攻撃を防ぐために AntiForgeryToken ヘルパーを実装しようとしています。

Steve Sanderson のブログを使用してこれを実装しています: http://blog.stevensanderson.com/2008/09/01/prevent-cross-site-request-forgery-csrf-using-aspnet-mvcs-antiforgerytoken-helper/

これを新しいMVC2プロジェクトに実装すると機能します。しかし、同じコードを REAL アプリケーションに入れると、常にこの例外がスローされます。必要な偽造防止トークンが提供されなかったか、無効でした。

ここに私のコントローラコードがあります:

ビュー内のコード:

実際のアプリケーションが認証に ADFS を使用することを除いて、2 つのアプリに違いはありません。私は何が欠けていますか？どんな助けでも大歓迎です。ありがとう！

Plupload を使用して、複数の画像を mvc3 Web アプリにアップロードできるようにしています。

ファイルのアップロードは問題ありませんが、AntiForgeryToken を導入すると機能しません。トークンが指定されていないか、無効であるというエラーが表示されます。

Id パラメーターをアクション パラメーターとして受け入れることもできず、常に null を送信します。Request.UrlReferrer プロパティから手動で抽出する必要があります。

私は、pluploadがアップロード内の各ファイルを手動で送信し、独自のフォーム投稿を偽造していると考えています。

私の姿……。

そしてそれをつなぐコード...

これがそれを受け取るコントローラーアクションです...

ご覧のとおり、id パラメーターを null 可能にする必要があり、これをアクション メソッドで手動で抽出しました。

各フォーム投稿で値が正しく送信されるようにするにはどうすればよいですか?

私は2つのWebサイトを持っていますが、実際には同じです。その目的は、そのうちの 1 つはインターネット ユーザー用で、もう 1 つはローカルで使用するためです。現在、それらは私の localhost マシンの同じ IIS サーバーでホストされています。この 2 つの Web サイトを開いて [ValidateAntiForgeryToken] でマークされたアクション結果を取得しようとすると、Cookie にローカルホスト サイトの Cookie があり、偽造防止保護である" RequestVerificationToken_Lw "という名前の Cookie があるという問題があります。鍵。問題は、両方のサイトが同じ Cookie を使用してこのキーを保存していることです。そのため、一方の Web サイトでうまくやった場合、もう一方の Web サイトでうまくやろうとすると、偽造防止エラーが発生します。

Cookie ドメインまたはその他のソリューションを変更して Cookie を分割するにはどうすればよいですか?

ありがとう！

デフォルトのLogOnフォームを変更して、単純なASP.NETMVC3サンプルで簡単なテストを行いました。この記事によると、非表示フィールド__RequestVerificationTokenとCookieの両方に__RequestVerificationToken_Lw__、によって生成された値と同じ値が含まれている必要がありますHtml.AntiForgeryToken()。しかし、Fiddleで入手したときとまったく同じではありません。ちなみに、MVC 3のソースコードを見ると、メソッドGetAntiForgeryTokenAndSetCookieはCookieの生成にsalt値を使用していないようです。MVC 3に変更はありましたか？

通常のPOSTリクエストとAjaxPOSTリクエストの両方で正常にログオンできると言うのを忘れました。

Fiddleからの生のログは次のとおりです。

MVC3アプリケーションにAntiForgeryTokenを実装しようとしています。FormAuthentication cookieを設定した後、AntiForgeryTokenに問題があります。これが私の問題を説明する簡単な例です。

私は次のアクションメソッドを持つホームコントローラーを持っています：

そして、これが私のログオンとビューについてです：

Logon.cshtml：

About.cshtml

「ログオン」POST方式は問題ありません。偽造防止トークンを検証し、ビューについてレンダリングしています。興味深いことに、「About」ビューに投稿すると、「必要な偽造防止トークンが提供されなかったか、無効でした」というエラーが表示されます。

私がここで間違っていることを誰かが指摘できますか？

あなたの助けに感謝。

ホスティング会社がWebサーバーをアップグレード（および再起動）することを決定して以来、奇妙なエラーが発生しています。

ここに事実があります

• MVC2アプリケーション
• Windows 2008 Server
• webconfigで定義されたマシンキー（およびマシン構成で定義された同じ正確なキー）
• マシンキーは、メンテナンス前にサイトのweb.configで定義されていました
• サイトは、ネットワークサービスとして実行されている独自のアプリプールを使用します
• ビューステートを使用していませんが、偽造防止トークンを使用しています

述べられたすべてを行っているにもかかわらず、私はまだこのような多くのエラーを受け取っています：

System.Web.UI.ViewStateException：無効なビューステート。クライアントIP：[省略]ポート：56668リファラー：https ：//someserver.comパス：/ Framed / CreditCard /ユーザーエージェント：Mozilla / 4.0（互換性; MSIE 8.0; Windows NT 6.0; WOW64; Trident /4.0;GTB7。 1; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.5.30729; .NET CLR 3.0.30618）ViewState：[省略]

エラーを一度再現できましたが、その後停止しました。修正したと思ったのですが、クライアントにエラーが発生します。

編集：私はもともとこれは労働者のプロセスのリサイクルのためだったと思いました。WPをリサイクルする原因となった変更を加えて、Webサーバーにプッシュしたため、これは当てはまりません。しかし、私はそれが昨夜彼らが行ったかもしれないアップデートの何かだったと信じています。彼らがしたことの報告を聞くのを待っています。

これは理論的な問題です。

誰かが私の投稿アクション (URL、パラメーターなど) をすべて知っている場合、私の URL の 1 つを読み込み、偽造防止トークンの値を解析し、前述の投稿を ajax 経由で呼び出して成功することはできますか?

または、このトークンは何らかの形で保護されていますか? 私は本当にMVCを始めたばかりで、自分の安全を確保したいのです。

私は以前にこれに関して質問をしましたが、興味深い答えが得られたので、さらに多くの質問をしました。それで、AJAX投稿の内部の仕組みとかなり厄介なことを理解するための私の旅の次の質問がここにありますValidateAntiForgeryTokenAttribute。

私は_layout.cshtmlを持っています、これは今のところすべてのスクリプトグッズが置かれている場所です。3つのパーシャルをレンダリングするログインページがあります。1つは通常のOpenIDログイン用@using(Html.BeginForm()) {}、1つはローカルログイン用、もう1つは基本登録用です。ログインパーシャルとレジスタパーシャルはどちらもViewModelsとAjax.BeginForm

@using Ajax.BeginForm成功時に要素を更新するためにdata-ajax-updateattrを使用して取得していることに注意してください

_layout.cshtmlのスクリプト：

_layout.cshtmlのフォーム要素

コントローラのアクションメソッド：

なぜこれが機能しているのか、魔法のようAntiForgeryTokenにすべての投稿に含まれています。私はそれをつかんで追加していません、私はそれで何もしていません本当にそれはただそこにあります。誰かがこれが機能する理由に光を当ててください。私は偶然の解決策が好きではありません、彼らは通常後で壊れます。

アンチ CRSF MVC メカニズムに問題があります。返された Cookie とフォーム入力が一致しません。特定の 1 ページでのみ、毎回エラーが発生します。アプリケーションの残りの部分では、うまく機能します。

サーバーが戻っHTTP 500 Internal Server Errorてきて、ログに次の例外が表示されます。

[System.Web.Mvc.HttpAntiForgeryException]: {"必要な偽造防止トークンが提供されなかったか、無効でした。"}

これは、サーバーが生成している隠し入力です。

そして返された Cookie は次のとおりです。

サーバーが送信しているものを調べると、Cookie はまったく同じですが、ペイロードのエンコーディングが異なると思います。

違いは、エンコードされているように見える 2 つの文字にあります。

これらは、非表示の入力フィールドと投稿ペイロードの間で見つけることができる唯一の違いです。

ValidateAntiForgeryTokenトークンの検証に失敗する原因は何ですか?

よろしく。