asp.net-core-mvc – Html.AntiForgeryToken()仍然需要?

前端之家收集整理的这篇文章主要介绍了asp.net-core-mvc – Html.AntiForgeryToken()仍然需要?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
在ASP.NET .NET4.6 vNext中仍然需要@ Html.AntiForgeryToken()?

表单装饰已更改为

<form asp-controller="Account" 
      asp-action="Login" 
      asp-route-returnurl="@ViewBag.ReturnUrl" 
      method="post" 
      class="form-horizontal" 
      role="form">

由此

@using (Html.BeginForm("Login","Account",new { ReturnUrl = ViewBag.ReturnUrl },FormMethod.Post,new { @class = "",role = "form" }))

不再包含这个

@Html.AntiForgeryToken()

控制器操作仍然按照预期标记有ValidateAntiForgeryToken属性,但是它来自哪里?自动的?

[HttpPost]
[AllowAnonymous]
[ValidateAntiForgeryToken]
public async Task<IActionResult> Login(Loginviewmodel model,string returnUrl = null)

解决方法

表单标签助手将自动添加防伪令牌. (除非您将其用作标准的html表单元素,手动添加操作属性).检查 form tag helper的源代码,您将在Process方法的末尾看到以下内容.
if (Antiforgery ?? antiforgeryDefault)
{
    var antiforgeryTag = Generator.GenerateAntiforgery(ViewContext);
    if (antiforgeryTag != null)
    {
        output.PostContent.AppendHtml(antiforgeryTag);
    }
}

如果您检查登录页面的html,您将在窗体中看到以下隐藏的输入:

<input name="__RequestVerificationToken" type="hidden" value="CfDJ8BIeHClDdT9...">

您还可以手动启用/禁用它添加了asp-antimorgery属性

<form asp-controller="Account" asp-action="Register" asp-antiforgery="false" method="post" class="form-horizontal" role="form">

猜你在找的asp.Net相关文章