Ian*_*ton 8 asp.net-mvc razor razor-pages
我的页面有......
@page "{candidateId:int}"
......和
@Html.AntiForgeryToken()
模特有......
public void OnGet(int candidateId)
{
}
public void OnPost(int candidateId)
{
}
GET工作正常.这是我的AJAX请求..
$.ajax({
type: "POST",
url: "/Skills/" + candidateId,
beforeSend: function (xhr) {
xhr.setRequestHeader("XSRF-TOKEN",
$('input:hidden[name="__RequestVerificationToken"]').val());
},
data: {
name: 'hi mum'
},
success: function (response) {
},
failure: function (response) {
alert(response);
}
});
浏览器收到无用的错误消息... 400 Bad Request.
我错过了什么?
Shy*_*yju 18
您正在获得400(错误请求)响应,因为框架期望RequestVerificationToken作为已发布请求的一部分.框架使用此来防止可能的CSRF攻击.如果您的请求没有此信息,框架将返回400错误请求.您当前的代码没有发送它.
将代码更改为此
headers:
{
"RequestVerificationToken": $('input:hidden[name="__RequestVerificationToken"]').val()
},
这将RequestVerificationToken在请求标头中添加一个带有键的新项,并且在进行调用时框架不应该抛出400响应.(假设您的视图代码为隐藏输入生成__RequestVerificationToken隐藏输入)
通过将IAntiforgery实现注入视图/页面并使用该GetAndStoreTokens方法,可以使代码更加健壮.
@inject Microsoft.AspNetCore.Antiforgery.IAntiforgery Xsrf
@functions{
public string GetAntiXsrfRequestToken()
{
return Xsrf.GetAndStoreTokens(Model.HttpContext).RequestToken;
}
}
并调用此GetAntiXsrfRequestToken函数以获取javascript中的值
headers:
{
"RequestVerificationToken": '@GetAntiXsrfRequestToken()'
},
您可能还想使用PageModel的CandidateId属性来创建URL.像这样的东西
url: "/Skills/@Model.CandidateId",
此外,您需要@Html.AntiForgeryToken()显式调用方法以生成令牌输入.使用没有操作属性值的post方法的表单将为您生成隐藏的输入.
<form method="post">
<!-- your inputs-->
</form>
| 归档时间: |
|
| 查看次数: |
4394 次 |
| 最近记录: |