MVC5 AntiForgeryToken - comment gérer “La lutte contre la falsification de jeton a été conçu pour l'utilisateur ”“, mais l'utilisateur actuel est ”xxx“.” l'exception"?

Je veux protéger notre connexion actions par AntiforgeryToken attribut - je sais pourquoi l'exception de la rubrique se produit, cependant je n'arrive pas à trouver une bonne solution pour elle.

Disons que nous avons l'une des situations suivantes:

  1. Il est 8:00 du matin, les utilisateurs de l'application sont à venir au travail, ils s'asseoir et de commencer le processus de connexion - pour l'instant il est très possible que certains utilisateurs auront la même ValidationToken. Après la première journaux dans toutes les autres verront l'exception ci-dessus (ou une autre exception personnalisée de l'écran) lors de leur tentative de connexion.
  2. De l'utilisateur connecté, puis appuyez accidentellement sur la "retour" et tenté de vous connecter à nouveau - ce qui est plus rare, il peut arriver, et je ne veux pas que les utilisateurs voient des exceptions quand il ne.

La question est donc simple - comment prévenir les situations ci-dessus, ou comment les gérer de sorte que les utilisateurs ne remarqueront rien. J'ai essayé ce qui suit:

  1. Réglage de la AntiForgeryConfig.SuppressIdentityHeuristicChecks = true; dans Application_Start Mondiale.asax - il n'a pas de résoudre le problème, j'obtiens toujours la même exception
  2. Réglage de la [OutputCache(NoStore = true, Durée = 0, VaryByParam = "None")] sur la méthode avec [ValidateAntiForgeryToken] attribut - encore une fois, pas de chance, il y

Droit maintenant, je pensais à manuellement valider le jeton dans l'action du corps, de capture de l'erreur, et de vérifier si la tentative a été faite par utilisateur anonyme:

public ActionResult SomeAction()
{
    try
    {
        AntiForgery.Validate();
    }
    catch(HttpAntiForgeryException ex)
    {
        if(String.IsNullOrEmpty(HttpContext.User.Identity.Name))
        {
            throw;
        }
    }

    //Rest of action body here
    //..
    //..
}

Ci-dessus semble éviter les erreurs - mais est-il sûr? Quelles sont les alternatives?

Merci d'avance.

Meilleures salutations.

EDIT:

La dernière "solution" est de désactiver jeton de validation sur le formulaire de connexion: il y a peut-être une meilleure façon de le gérer, mais il semble que toutes les solutions que j'ai trouvées, étaient laids solutions similaires à la mienne proposé ci-dessus.

Car il n'y a aucun moyen de savoir combien de "coffre-fort", ces alternatives sont (si ils sont en sécurité en tout), nous avons décidé de faire désactiver jeton de validation lors de la connexion.

Vous pouvez utiliser des scripts pour désactiver le double présentations, stackoverflow.com/questions/2830542/...
Salut, je vais avoir le même problème lorsque l'utilisateur appuie sur bouton retour du navigateur. Qu'avez-vous de la fin?
Voir la section EDIT de ma question - puisque seul le formulaire de connexion nous a donné ce problème, en fin de compte, nous avons juste désactivé le jeton de validation. Nous avons décidé qu'il n'était tout simplement pas en vaut la peine et franchement, je ne pouvais pas trouver tout "propre" solution - seuls les moches, les solutions de contournement (comme celle, que j'ai posté avec le try-catch).

OriginalL'auteur user2384366 | 2015-09-18

  1. 16

    Essayer de réglage (dans le global.cs):

    AntiForgeryConfig.UniqueClaimTypeIdentifier = ClaimTypes.NameIdentifier;

    Cela va ajouter le nom de l'identifiant de votre jeton,

    Comme pour le double problème de connexion, essayez d'utiliser un script de document, la date et l'heure de l'original soumettre à arrêter un deuxième présenter avec le même jeton.

    //jQuery plugin to prevent double submission of forms
jQuery.fn.preventDoubleSubmission = function() {
  $(this).on('submit',function(e){
    var $form = $(this);

    if ($form.data('submitted') === true) {
      //Previously submitted - don't submit again
      e.preventDefault();
    } else {
      //Mark it so that the next submit can be ignored
      $form.data('submitted', true);
    }
  });

  //Keep chainability
  return this;
};

    Donc, nous savons une chose; les utilisateurs comme le bouton de retour et ont l'habitude de le "double clic", c'est un gros problème avec AntiforgeryToken.

    Mais selon ce que votre application n', il existe des moyens de limiter leur compulsion à faire. Le plus simple est de faire de votre mieux pour essayer de le faire le visiteur se sentent pas comme ils ont besoin de “rembobiner” leur demande de le modifier.

    Assurer que le formulaire messages d'erreur est clair et concis afin d'assurer la
    l'utilisateur sait ce qui est mal. Contexual erreurs de donner des points bonus.

    Toujours maintenir la forme de l'état entre les soumissions de formulaire. En dehors de
    les mots de passe ou numéros de carte de crédit, il n'y a aucune excuse, grâce à la MVC
    former des assistants. @Html.LabelFor(x => x.FirstName)

    Si les formes sont répartis à travers les onglets ou cachés divs tels que ceux utilisés dans
    SPA cadres comme Angulaires ou ember.js être intelligent et de montrer l'
    contrôleur de mises en page ou la forme que les erreurs provient en fait de dans
    la soumission du formulaire lors de l'affichage de l'erreur. Ne vous contentez pas de les diriger
    à la maison ou contrôleur de premier onglet.

    “What's going on?” - Garder l'utilisateur au courant

    Lorsqu'un AntiForgeryToken ne pas valider votre site web va lever une Exception de type System.Web.Mvc.HttpAntiForgeryException.

    Si vous avez configuré correctement, vous avez amicale des erreurs allumé et cela signifie que votre page d'erreur n'affichera pas une Exception et montrer une belle page d'erreur qui leur dit ce qu'il est.

    Vous pouvez rendre cela un peu plus facile en moins de donner à l'utilisateur une plus informatif de la page ciblée à ces exceptions près, par la capture de l'HttpAntiForgeryException.

    private void Application_Error(object sender, EventArgs e)
{
    Exception ex = Server.GetLastError();

    if (ex is HttpAntiForgeryException)
    {
        Response.Clear();
        Server.ClearError(); //make sure you log the exception first
        Response.Redirect("/error/antiforgery", true);
    }
}

    et votre /error/antiforgery vue de leur dire Désolé vous avez essayé de présenter deux fois la même information

    Une autre Idée est de connecter l'erreur et de renvoyer l'utilisateur à l'écran de connexion:

    Créer un HandleAntiforgeryTokenErrorAttribute classe qui Remplace la OnException méthode.

    HandleAntiforgeryTokenErrorAttribute.cs:

    public class HandleAntiforgeryTokenErrorAttribute : HandleErrorAttribute
{
    public override void OnException(ExceptionContext filterContext)
    {
        filterContext.ExceptionHandled = true;
        filterContext.Result = new RedirectToRouteResult(
            new RouteValueDictionary(new { action = "Login", controller = "Account" }));
    }
}

    Filtre Global:

    public class FilterConfig
{
    public static void RegisterGlobalFilters(GlobalFilterCollection filters)
    {
        filters.Add(new HandleErrorAttribute());
        filters.Add(new HandleAntiforgeryTokenErrorAttribute()
            { ExceptionType = typeof(HttpAntiForgeryException) }
        );
    }
}

    Je voudrais aussi utiliser quelques outils pour enregistrer toutes vos informations de connexion est partie critique de votre application

    NLog général de journalisation et d'e-mails sur des applications critiques exceptions (y compris les exceptions).

    Elmah pour le filtrage et l'adresse électronique du web exceptions.

    EDIT:
    Aussi, vous pouvez regarder un plugin jQuery appelé SafeForm. Lien

    EDIT:

    J'ai vu beaucoup de débat sur ce sujet et sur tous les points de vue sur le sujet ont des points valides, Comment je regarde c'est (Prises de owasp.org)

    Cross-Site Request Forgery (CSRF) est une attaque qui force l'utilisateur final
    pour exécuter des actions indésirables sur une application web dans laquelle ils sont
    actuellement authentifié, les attaques de type CSRF cibler spécifiquement de l'état-évolution des demandes, pas le vol de données. L'anti-faux jeton
    spécifique de "qui est connecté". Donc, une fois que vous vous connectez, puis revenir en arrière, la
    ancien jeton n'est plus valide

    Maintenant, j'ai aussi utiliser des adresses IP autorisées pour la connexion à attribuer une de mes applications avec 2 facteur d'autorisation si les utilisateurs changements d'adresse IP, donc si Cross-Site Request Forgery était en jeu, l'utilisateur ne serait pas correspondre à l'adresse IP et demande 2 facteur d'autorisation. presque comme la manière d'une sécurité routeur serait de travailler. mais si vous voulez le garder sur votre page de connexion, je ne vois pas un problème tant que vous avez de votre environnement de pages d'erreur configurer les gens ne vont pas se fâcher, car ils verront qu'ils ont fait quelque chose de mal.

    Merci pour la réponse et désolé pour la réponse tardive - je modifier votre solution un peu (j'utilise le champ caché: "a été soumis") et maintenant bouton "retour" de la situation semble être résolu, cependant la situation de AD1 existe encore, ce peut être simulé par le chargement, le formulaire de connexion dans les deux onglets dans le navigateur, je peux voir clairement que "___RequestverificationToken" cookie est le même pour les deux onglets, et quand je soumettre je reçois la même erreur qu'avant. Alors que je peux attraper cette exception, je ne suis toujours pas quoi faire avec elle...
    En vérité La vraie réponse à ce problème est tout simplement que vous ne devriez pas utiliser un anti-faux jeton sur les formulaires de login! Il est inutile de "forge" étant un utilisateur sur un formulaire de connexion - ils ne sont pas encore connecté et utilisateurs anonymes jusqu'à ce qu'ils sont enregistrés dans! donc son utilisation pour l'utilisateur anonyme pour créer le Requestverification Jeton, anti-faux jeton doit être utilisé sur les formulaires une fois que l'utilisateur est connecté, comme des onglets sur le même navigateur et ordinateur aura rien de différent entre eux.
    Pour être honnête, je suis un peu confus en ce moment, car il semble y avoir deux vues différentes sur le sujet, par exemple ici: security.stackexchange.com/questions/2120/... que j'ai trouvé assez vaste répondre par exemple, qui stipule que les faux jeton doit être utilisé sur le formulaire de connexion... d'autre part, il existe de nombreux autres posts qui disent le contraire... je vais attendre un peu plus pour d'autres idées possibles - mais si rien ne vient, je pense que je vais faire comme Vous le suggérez, et désactiver la validation de jeton de connexion 🙂
    Ajout d'une nouvelle édition de mes pensées
    aussi avez-vous essayé " [OutputCache(NoStore = true, Emplacement = OutputCacheLocation.None)]' votre login contrôleur. ce sera fait automatiquement une nouvelle demande de chargement de la page.

    OriginalL'auteur pool pro