ValidateAntiForgeryToken ajax
[ValidateAntiForgeryToken]
为防止CSRF,asp.net core会在form中自动注入一个隐藏域防止攻击
自动加入:
<form asp-action="create">
</form>
或者使用beginform自动加入隐藏域
@using (Html.BeginForm("ChangePassword", "Manage")) { ... }
或手动加入:
<form method="post" action="create">
@Html.AntiForgeryToken()
</form>
隐藏域代码大致如下:
<input name="__RequestVerificationToken" type="hidden" value="CfDJ8NrAkS ... s2-m9Yw">
在asp.net或asp.net core mvc中,对于删除操作,微软加了token,这样的好处是防止跨站攻击,但如果用平常的ajax删除操作执行时会返回500错误,因此需要加入token进行删除,核心代码实现如下
|
1 2 3 4 5 6 7 8 9 10 11 |
// POST: Schedules/Delete/5 [HttpPost, ActionName("Delete")] [ValidateAntiForgeryToken] public ActionResult DeleteConfirmed(long id) { Schedule schedule = dbcontext.Schedule.Find(id); schedule.U_User.Clear(); dbcontext.Schedule.Remove(schedule); dbcontext.SaveChanges(); return RedirectToAction("Index", "Admin"); } |
以下是两种方法实现均可,url根据自己情况填写:
第一种:将token加到form里和数据一起提交
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 |
$(".del").click(function () { //$('#myModal').modal('show'); if (confirm("确定删除吗")) { var data = {}; var token = $('@Html.AntiForgeryToken()').val(); data["__RequestVerificationToken"] = token; url = $(this).attr("data-href"); //console.log(url,token,data); $.ajax({ url: url, type: "post", data: data, success: function (e) { window.location.reload(); } }) return true; } else { return false; } }); |
第二种方法加到headers里,在头标识中加入:url可根据自己情况修改
推荐使用此方法
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 |
if (confirm("确定删除选中的记录吗")) { $.ajax({ type: "POST", url: "/@ViewContext.RouteData.Values["controller"]/Delete", data: { ids: arrIds }, headers: { "RequestVerificationToken":$('@Html.AntiForgeryToken()').val()}, success: function (data, state) { window.location = "@ViewContext.RouteData.Values["controller"]"; }, error: function (data, state) { alert("操作失败") } }); } |
微软官方参考:https://github.com/aspnet/AspNetCore.Docs/blob/master/aspnetcore/security/anti-request-forgery/sample/MvcSample/Views/Home/Ajax.cshtml
声明:本站内容来源于原创和互联网,尊重作者版权,转载请注明来源网址,欢迎收藏,谢谢!
发表评论