Comment obtenir AntiForgeryToken valeur sans caché entrée

@Html.AntiForgeryToken()
rend caché entrée

<input name="__RequestVerificationToken" type="hidden" value="GuiNIwhIJZjINHhuS_8FenaFDXIiaE" />

Comment puis-je obtenir une valeur symbolique, seulement?
Sans laide de code comme ceci:

public static IHtmlString AntiForgeryTokenValue(this HtmlHelper htmlHelper) {
        var field = htmlHelper.AntiForgeryToken().ToHtmlString();
        var beginIndex = field.IndexOf("value=\"") + 7;
        var endIndex = field.IndexOf("\"", beginIndex);
        return new HtmlString(field.Substring(beginIndex, endIndex - beginIndex));
    }
InformationsquelleAutor Alexey Ryazhskikh | 2013-02-17
  1. 17

    L'anti-CSRF capacités de la MVC qui dépend en fait de deux des jetons: l'un est une forme cachée de l'élément, et l'autre est un cookie. De sorte que le Html.AntiForgeryToken() helper n'est pas juste de retour d'un fragment de code HTML. Il a également un effet secondaire de réglage de ce cookie. Notez que la valeur du cookie et la valeur ne sont pas égaux, car ils codent chacune des différentes pièces de l'information.

    Si vous utilisez le AntiForgery.GetTokens de l'API, cette méthode retourne le brut des jetons au lieu de générer un fragment de code HTML. Les paramètres de cette méthode sont:

    • oldCookieToken: Si la requête contient déjà un anti-CSRF cookie jeton, fournit ici. Ce paramètre peut être null.
    • newCookieToken (paramètre de sortie): Si oldCookieToken a la valeur null ou n'a pas représenter un valide anti-CSRF cookie jeton, ce paramètre sera renseigné avec la valeur que vous devriez mettre dans la réponse du témoin. Si oldCookieToken représenté valide anti-CSRF token, puis newCookieToken va contenir la valeur null lorsque la méthode renvoie, et vous n'avez pas à définir une réponse cookie.
    • formToken (paramètre de sortie): Ce paramètre sera remplie avec le jeton qui doivent être présentes dans le corps du formulaire lors de la publication sur le serveur. C'est la valeur qui finit par être enveloppé par le caché de l'élément d'entrée dans un appel à Html.AntiForgeryToken().

    Si vous utiliser cette API pour générer des cookies et des balises de formulaire manuellement, vous devez appeler le correspondant de surcharge de AntiForgery.Valider pour valider les jetons.

    • Je sais que sur sideeffect, mais ma question est sur le complexe js application sans aucune forme de html. Je suis l'envoi d'une requête ajax pour obtenir le formulaire de jeton et cookie jeton, après ça, je viens d'envoyer ma requête ajax avec le formulaire de jeton. Mais maintenant, je ne sais pas assez de façon simple et pour placer le biscuit et obtenir le formulaire de jeton sans html indésirable de l'analyse.
    • J'ai trouvé que le fait d'exposer le Name et Value de généré des anti contrefaçon forme de jeton dans HtmlHelper est nécessaire pour être utilisé en Javascript comme framework ExtJs. Je ne peux pas tout simplement écrire le code HTML de l'élément, au lieu de cela j'ai besoin d'étendre ExtJs composant et de traiter avec le côté client du modèle ou de l'utilisation de l'existant Hiddenfield qui ne nécessitent que le nom et la valeur au lieu de la totalité de l'élément d'entrée...AntiForgery.GetTokens: besoin de jouer avec cookie; AntiForgery.Validate: Déjà en interne appelé par [ValidateAntiForgeryToken] attribut... je endup avec l'aide de l'OP HtmlHelper extension pour obtenir le nom et une valeur.
    InformationsquelleAutor Levi
  2. 12

    Je me rends compte que cette question est ancienne, mais basé sur ce que j'ai lu ici, je suis venu avec une assez simple solution qui semble fonctionner pour moi. Je l'utilise sur un AngularJS SPA qui utilise partielle modèles, dont une partie seulement impliquer les POST des présentations.

    J'ai mis ce code en haut de la vue:

    @{
    string cookieToken, formToken;
    string oldCookieToken = Request.Cookies[AntiForgeryConfig.CookieName] == null ? null : Request.Cookies[AntiForgeryConfig.CookieName].Value;
AntiForgery.GetTokens( oldCookieToken, out cookieToken, out formToken );

    if( oldCookieToken == null ) 
    {
        Request.Cookies.Add( new HttpCookie( AntiForgeryConfig.CookieName,     cookieToken ) );
    }
    else 
    {
        Request.Cookies[AntiForgeryConfig.CookieName].Value = cookieToken;
    }
}

    et puis où j'ai besoin du formulaire antiforgery jeton (par exemple, dans une requête ajax ou angularjs POST) je viens de citer '@formToken " dans les en-têtes:

    $http.post(route, JSON.stringify(args), {
     headers: {
        '@AntiForgeryConfig.CookieName':  '@formToken',
        'Content-Type': 'application/json; charset=utf-8',
     },
});

    Notez que, comme dans cet exemple, je m'attends à des données JSON retour de ma méthode d'action, j'ai également eu à mettre en œuvre anti-contrefaçon de validation basée sur les en-têtes, pas de champs de formulaire. Il y a un joli post à ce sujet à http://johan.driessen.se/posts/Updated-Anti-XSRF-Validation-for-ASP.NET-MVC-4-RC.. Voici la mise en œuvre:

    [AttributeUsage( AttributeTargets.Method | AttributeTargets.Class,
                AllowMultiple = false, Inherited = true )]
public sealed class ValidateJsonAntiForgeryTokenAttribute
                            : FilterAttribute, IAuthorizationFilter
{
    public void OnAuthorization( AuthorizationContext filterContext )
    {
        if( filterContext == null )
        {
            throw new ArgumentNullException( "filterContext" );
        }

        var httpContext = filterContext.HttpContext;
        var cookie = httpContext.Request.Cookies[AntiForgeryConfig.CookieName];
        AntiForgery.Validate( cookie != null ? cookie.Value : null,
                             httpContext.Request.Headers[AntiForgeryConfig.CookieName] );
    }
}

    et voici comment il est utilisé:

        [HttpPost]
    [ValidateJsonAntiForgeryToken]
    public JsonResult RecordVisit( VisitInfo info )
    InformationsquelleAutor Mark Olbert