那些遇到过的问题

显然是随机错误:"防伪令牌验证失败.防伪cookie令牌和请求令牌不匹配."

use*_*179 6 c# iis csrf kestrel-http-server asp.net-core

背景

我有一个相对较新的ASP.NET Core 2站点.它只在一台服务器上运行(Windows Server 2012 R2,IIS 8.5),每上几天我上传更新时只会重启一次.大约每天一次,由于防伪系统的拒绝,用户的请求失败.这些是POST请求,并没有什么特别之处.我在POST请求中包含了防伪值,99%的时间,POST请求都有效.但是当它们没有时,stdout日志会说,"防伪令牌验证失败.防伪cookie令牌和请求令牌不匹配." 当我使用该确切语句执行Web搜索时,我得到零结果.所以我转向Stack Overflow.[这已不再适用,因为Web搜索现在会产生此Stack Overflow问题.]

错误

我已经在下面列出了stdout日志的相关部分.

info: Microsoft.AspNetCore.Hosting.Internal.WebHost[1]
      Request starting HTTP/1.1 POST [domain redacted] application/x-www-form-urlencoded 234
info: Microsoft.AspNetCore.Mvc.ViewFeatures.Internal.ValidateAntiforgeryTokenAuthorizationFilter[1]
      Antiforgery token validation failed. The antiforgery cookie token and request token do not match.
Microsoft.AspNetCore.Antiforgery.AntiforgeryValidationException: The antiforgery cookie token and request token do not match.
   at Microsoft.AspNetCore.Antiforgery.Internal.DefaultAntiforgery.ValidateTokens(HttpContext httpContext, AntiforgeryTokenSet antiforgeryTokenSet)
   at Microsoft.AspNetCore.Antiforgery.Internal.DefaultAntiforgery.<ValidateRequestAsync>d__9.MoveNext()
--- End of stack trace from previous location where exception was thrown ---
   at System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
   at System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
   at Microsoft.AspNetCore.Mvc.ViewFeatures.Internal.ValidateAntiforgeryTokenAuthorizationFilter.<OnAuthorizationAsync>d__3.MoveNext()
info: Microsoft.AspNetCore.Mvc.RazorPages.Internal.PageActionInvoker[3]
      Authorization failed for the request at filter 'Microsoft.AspNetCore.Mvc.ViewFeatures.Internal.AutoValidateAntiforgeryTokenAuthorizationFilter'.
info: Microsoft.AspNetCore.Mvc.StatusCodeResult[1]
      Executing HttpStatusCodeResult, setting HTTP status code 400
info: Microsoft.AspNetCore.Mvc.RazorPages.Internal.PageActionInvoker[2]
      Executed action /Index in 2.6224ms
warn: Microsoft.AspNetCore.Antiforgery.Internal.DefaultAntiforgery[1]
      Antiforgery validation failed with message 'The antiforgery cookie token and request token do not match.'.
Run Code Online (Sandbox Code Playgroud)

对于导致上述stdout输出的请求,IAntiforgery.IsRequestValidAsync同意返回false.请注意错误消息"防伪cookie令牌和请求令牌不匹配".这是一个失败的POST请求和相关cookie的缩减示例.

POST: __RequestVerificationToken= CfDJ8F9Fs4CqDFpLttT96eZw9WHjWfHO8Yawn35k4Yq3gDK5n1TDJDDiY5o86VQs1_qOVIYBydCizBU4knb7Jmq1-heGhwnMu2KmhUIiAd0xI7Sudv3GX-J0OI6wRfiPL4L1KRs2Pml8dbsDfwemewBqi18

Cookie: .AspNetCore.Antiforgery.ClRyCRmWApY=CfDJ8F9Fs4CqDFpLttT96eZw9WFtJht41WcNrmgshi2pFGwcxhr0_0hvINQc7Yl9Cbjhv-TiSNXeEctyKborLI49AcjHfWIgOmmKkbjOe7QMn8Z0WZtkQy5JcaBHKEGTu1p-La8JL8pZZqZy02Hrswpkh3I

在请求失败并出现400错误(使用一些错误处理中间件)后,我也已经捕获了几次这些数据:

AntiforgeryTokenSet tokens = antiforgery.GetTokens(context);
tokens.CookieToken:  null
tokens.FormFieldName:  "__RequestVerificationToken"
tokens.HeaderName:  "RequestVerificationToken"
tokens.RequestToken:  "CfDJ8F9Fs4CqDFpLttT96eZw9WH33jSw5mM8h7RpEd3vGISQTRkx1rfwm-L2lfkvXKMBc-riESmoTo_fnIjeBbRmOo5KuJHr09f8B75sQ9g_djIVeeaGwMw5KE6W1O2-7Vi03fCnwlTv8l-BWGst76Ln-ZQ"
Run Code Online (Sandbox Code Playgroud)

所以这里有三个字符串:

POST String:  "CfDJ8F9Fs4CqDFpLttT96eZw9WHjWfHO8Yawn35k4Yq3gDK5n1TDJDDiY5o86VQs1_qOVIYBydCizBU4knb7Jmq1-heGhwnMu2KmhUIiAd0xI7Sudv3GX-J0OI6wRfiPL4L1KRs2Pml8dbsDfwemewBqi18"
Cookie String:  "CfDJ8F9Fs4CqDFpLttT96eZw9WFtJht41WcNrmgshi2pFGwcxhr0_0hvINQc7Yl9Cbjhv-TiSNXeEctyKborLI49AcjHfWIgOmmKkbjOe7QMn8Z0WZtkQy5JcaBHKEGTu1p-La8JL8pZZqZy02Hrswpkh3I"
antiforgery.GetTokens(context).RequestToken:  "CfDJ8F9Fs4CqDFpLttT96eZw9WH33jSw5mM8h7RpEd3vGISQTRkx1rfwm-L2lfkvXKMBc-riESmoTo_fnIjeBbRmOo5KuJHr09f8B75sQ9g_djIVeeaGwMw5KE6W1O2-7Vi03fCnwlTv8l-BWGst76Ln-ZQ"
Run Code Online (Sandbox Code Playgroud)

POST字符串和cookie字符串不匹配,但根据我的经验,即使ASP.NET Core认为合法的请求,他们也从不这样做.但奇怪的是,POST字符串tokens.RequestToken并不匹配.我认为他们应该匹配,虽然我tokens.RequestTooken后来在请求生命周期中捕获,所以也许这与它有关.

GitHub上的ASP.NET Core 2

我决定查看ASP.NET Core 2的源代码.我找到了这个文件,特别是第145行:

https://github.com/aspnet/Antiforgery/blob/dev/src/Microsoft.AspNetCore.Antiforgery/Internal/DefaultAntiforgeryTokenGenerator.cs

该行收到消息"防伪cookie令牌和请求令牌不匹配".从第134行的这个文件:

https://github.com/aspnet/Antiforgery/blob/dev/src/Microsoft.AspNetCore.Antiforgery/Resources.resx

所以我认为这就是信息的起源,但我仍然想知道为什么会发生这种情况.

有人请帮我弄清楚为什么这些防伪代币没有验证?用户的Web浏览器是否可能会破坏cookie或POST数据?有没有人有这方面的经验或任何建议?谢谢.

小智 5

全局禁用过滤器似乎是关闭它的唯一方法。我得到了 @svallis 的代码来进行视线修改:

services.AddMvc().AddRazorPagesOptions(options =>
{
    options.Conventions.ConfigureFilter(new IgnoreAntiforgeryTokenAttribute());
});
Run Code Online (Sandbox Code Playgroud)

https://github.com/aspnet/Mvc/issues/7012

  • 谢谢,但这不能满足我的要求。我想使用防伪系统,而不是禁用它。 (7认同)

归档时间:

查看次数:

2517 次

最近记录:

6 年,12 月 前
相关归档
等到过程结束 194
ASP.NET MVC 3 - 无法找到请求的.Net Framework数据提供程序 55
如何自动增加MVC 6版本号? 11
更新到vs2017.3后,不会触发断点 10
TripleDes的.指定的填充模式对此算法无效 6
在 appsettings.json 文件中的 aspnet 核心连接字符串中转义;(分号) 6
Jenkins MSBuild部署到远程IIS 5
为什么经典的asp脚本或请求为每个客户端顺序运行 4
是否可以在 PHP 中使用 file_get_contents 破坏 CSRF 令牌验证 4
从浏览器到IIS的并发连接 2
难疑归档
package.json中的波浪号(〜)和插入符号(^)有什么区别? 3111
如何将命令行参数传递给Node.js程序? 2280
如何在不手动指定编码的情况下在C#中获得字符串的一致字节表示? 2121
O(log n)究竟意味着什么? 2021
迭代对象属性 1904
为什么Python 3中的"1000000000000000在范围内(1000000000000001)"如此之快? 1890
如何在Node.js中退出 1762
如何撤消'git reset'? 1172
type()和isinstance()之间有什么区别? 1163
如何在JavaScript中创建二维数组? 1081