"后退"按钮和防伪令牌

Question

我得到了Runtime error与防伪属性相关的信息.

执行以下步骤:

1. 创建一个MVC Web应用程序并启动
2. 注册joe@acme.org
3. 登出
4. 注册jane@acme.org
5. 登出
6. 以joe@acme.org身份登录
7. 点击后退按钮
8. 登录jane@acme.org

错误: The provided anti-forgery token was meant for a different claims-based user than the current user.

可以采取哪些措施来防止发生此错误？

Answer 1

我刚才遇到了同样的问题,并通过禁用登录视图的缓存来解决它.它实际上很有意义,并且不需要代码或异常处理.

我的登录控制器方法现在看起来像这样:

[AllowAnonymous]
[OutputCache(NoStore = true, Location = OutputCacheLocation.None)]
public ActionResult LogOn(Uri returnUrl)

当禁用缓存并且用户单击浏览器上的后退按钮时,将向服务器发出新请求,并再次传递页面,并将防伪签名设置为正确的用户.

我觉得这是一个更清洁,更简单和合理的方法来解决问题.

Answer 2

这是忽略错误并将用户返回登录屏幕的一种方法.这只是一个例子.

创建一个名为HandleAntiforgeryTokenErrorAttributeinherited 的新类HandleErrorAttribute.覆盖该OnException方法.

public class HandleAntiforgeryTokenErrorAttribute : HandleErrorAttribute
{
    public override void OnException(ExceptionContext filterContext)
    {
        filterContext.ExceptionHandled = true;
        filterContext.Result = new RedirectToRouteResult(
            new RouteValueDictionary(new { action = "Login", controller = "Account" }));
    }
}

转到您的FilterConfig班级并将该属性注册为全局过滤器.

public class FilterConfig
{
    public static void RegisterGlobalFilters(GlobalFilterCollection filters)
    {
        filters.Add(new HandleErrorAttribute());
        filters.Add(new HandleAntiforgeryTokenErrorAttribute()
            { ExceptionType = typeof(HttpAntiForgeryException) }
        );
    }
}