MVC 4, à la condition anti-faux jeton a été conçu pour l'utilisateur“, ” mais l'utilisateur actuel est “utilisateur”

J'ai récemment mis en Vivre une application web qui a été construit à l'aide de MVC 4 et Entity Framework 5. Le MVC application utilise Rasoir Vues.

J'ai remarqué à l'aide de Elmah que lorsque les utilisateurs se connectent à l'application, elles sont parfois l'erreur suivante se produit

The provided anti-forgery token was meant for user "" but the current user is "user"

J'ai fait un peu de recherche déjà sur la façon de résoudre ce problème, mais rien ne semble fonctionner pour moi. Veuillez voir mon de Vue Login et correspondant Actions de Contrôleur ci-dessous.

Rasoir Vue

@if (!HttpContext.Current.User.Identity.IsAuthenticated)
{

using (Html.BeginForm())
{
    @Html.AntiForgeryToken()
    @Html.ValidationSummary(true)

     <div class="formEl_a">

        <fieldset>
            <legend>Login Information</legend>

            <div class="lbl_a">
                Email
            </div>
            <div class="editor-field">
                @Html.TextBoxFor(m => m.Email, new { @class = "inpt_a" })<br />
                @Html.ValidationMessageFor(m => m.Email)
            </div>

            <div class="lbl_a">
                @Html.LabelFor(m => m.Password)
            </div>
            <div class="editor-field sepH_b">
                @Html.PasswordFor(m => m.Password, new { @class = "inpt_a" })<br />
                @Html.ValidationMessageFor(m => m.Password)
            </div>


        </fieldset>
    </div>
    <br />
      <p>
            <input type="submit" value="Log In" class="btn btn_d sepV_a" />
        </p>

}    
}

Contrôleur

[AllowAnonymous]
public ActionResult Login()
{
     return View();
}

[HttpPost]
[AllowAnonymous]
[ValidateAntiForgeryToken]
public ActionResult Login(LoginModel model, string returnUrl)
{
     if (ModelState.IsValid && _accountService.Logon(model.Email, model.Password, true))
     {
          //Validate
     }
     else
     {
          //inform of failed login
      }

}

Je pensais que tout cela avait l'air correct, mais toujours l'erreur persiste. N'ont aucune idée sur comment résoudre ce problème?

Votre aide est grandement appréciée.

Grâce.

Je pense que c'est déjà répondu ici stackoverflow.com/questions/14970102/...
Êtes-vous de vérifier cette réponse ? stackoverflow.com/questions/14970102/...
Si AllowAnonymous est retiré de la Connexion de l'Action,puis connectez-vous en Action ne sera pas appelé ("tant Que l'utilisateur n'a pas encore connecté")
La solution est ici: stackoverflow.com/a/47868435/2736742

OriginalL'auteur tcode | 2013-12-02

  1. 16

    Je crois que ce qui se passe parce que les utilisateurs sont en double-cliquant sur le bouton de soumission du formulaire. Au moins c'est EXACTEMENT le cas sur mon site.

    Dépannage anti-faux jeton de problèmes

    Même ici. Extrait de la réponse liés question: j'ai juste enlevé la validation de l'attribut. Mon site est toujours SSL et je ne suis pas trop préoccupé par les risques. J'ai juste besoin de travailler dès maintenant. Une autre solution serait de désactiver le bouton avec le javascript.
    Ne retirez PAS la validation de l'attribut, et surtout pas sur la page de connexion: security.stackexchange.com/questions/2120/...

    OriginalL'auteur

  2. 11

    Le code de validation qui va à l'encontre d'un AntiForgeryToken vérifie également votre utilisateur connecté les qualifications n'ont pas changé: ils sont également chiffrés dans le cookie.
    Cela signifie que si vous vous êtes connecté ou dans une fenêtre ou un autre onglet du navigateur, votre formulaire de soumission échouera avec l'exception suivante:

    System.Web.Mvc.HttpAntiForgeryException (0x80004005):
The provided anti-forgery token was meant for user "", but the current user is "SomeOne".

    Vous pouvez désactiver cette fonction en mettant AntiForgeryConfig.SuppressIdentityHeuristicChecks = true; dans Application_Start méthode à l'intérieur d' Global.asax fichier.

    Lorsqu'un AntiForgeryToken ne pas valider votre site web va lever une Exception de type System.Web.Mvc.HttpAntiForgeryException. Vous pouvez faire cela un peu plus facile en moins de donner à l'utilisateur une plus informatif de la page ciblée à ces exceptions près, par la capture de l'HttpAntiForgeryException.

    private void Application_Error(object sender, EventArgs e)
{
    Exception ex = Server.GetLastError();

    if (ex is HttpAntiForgeryException)
    {
        Response.Clear();
        Server.ClearError(); //make sure you log the exception first
        Response.Redirect("/error/antiforgery", true);
    }
}

    Plus d'infos:

    Anti faux jeton signifie pour l'utilisateur “” mais l'utilisateur actuel est le “nom d'utilisateur”

    Html.AntiForgeryToken – Équilibrage de la Sécurité avec une facilité d'utilisation

    Existe-il des problèmes associés avec la mise en AntiForgeryConfig.SuppressIdentityHeuristicChecks à vrai?
    Non il n'y a pas de problème avec ce paramètre. si les informations d'identification utilisateur ont changé ce problème est survenu.
    Je préfère cette solution car elle conserve les contrôles de sécurité en place et en informe l'utilisateur correctement, malheureusement, il est difficile d'arrêter un utilisateur double-cliquant ou en appuyant sur le bouton précédent du navigateur pour revenir à la page de connexion ou de quelque chose.

    OriginalL'auteur

  3. 0

    J'ai eu le même problème lors de l'

    • Utilisateur se connecte
    • Ensuite sur la Page d'Accueil de l'Utilisateur appuie sur Bouton Retour pour revenir à la Connexion
    • Utilisateur ouvre une session en tant qu'Utilisateur différent
    • Cela a donné l'exception : La lutte contre la falsification de jeton a été conçu pour l'utilisateur ", " mais l'utilisateur actuel est "utilisateur"

    J'ai trouvé ce qui se passait seulement dans IE et j'ai résolu en faisant une couple de choses

    1. Désactivé le cache de sortie pour la page de connexion, car en mode debug, j'ai trouvé que de frapper le bouton de retour n'a pas de générer une nouvelle requête à la page de Connexion

    2. Sur la page de connexion, j'ai ajouté une vérification pour voir si l'utilisateur est déjà authentifié, et si oui enregistrés l'utilisateur, et ensuite redirigé vers la page de Connexion à nouveau.

      [AllowAnonymous]
[OutputCache(NoStore=true, Location=System.Web.UI.OutputCacheLocation.None)]
public ActionResult Login)
{
    if (HttpContext.Request.IsAuthenticated)
    {
        WebSecurity.Logout();
        Session.Abandon();
        return RedirectToAction("Login");
    }

    return View();
}

    OriginalL'auteur