ValidateAntiForgeryToken mit SPA-Architektur

Ich versuche zu Register und Login Heißen Handtuch SPA applicantion. Erstellt habe ich SimpleMembershipFilters und ValidateHttpAntiForgeryTokenAttribute auf der Grundlage der asp.net single page application template.

Wie kommst du auf die 

 @Html.AntiForgeryToken()

code in die Durandal SPA-Muster.

Derzeit habe ich eine register.html

<section>
    <h2 data-bind="text: title"></h2>

    <label>Firstname:</label><input data-bind="value: firstName" type="text"  />
    <label>Lastname:</label><input data-bind="value: lastName" type="text"  />
    <label>Email:</label><input data-bind="value: emailAddress" type="text"  />
    <label>Company:</label><input data-bind="value: company" type="text"  />
    <br />
    <label>Password:</label><input data-bind="value: password1" type="password" />
    <label>Re-Enter Password:</label><input data-bind="value: password2" type="password" />
    <input type="button" value="Register" data-bind="click: registerUser" class="btn" />
</section>

register.js:

define(['services/logger'], function (logger) {
    var vm = {
        activate: activate,
        title: 'Register',
        firstName: ko.observable(),
        lastName: ko.observable(),
        emailAddress: ko.observable(),
        company: ko.observable(),
        password1: ko.observable(),
        password2: ko.observable(),
        registerUser: function () {
            var d = {
                'FirstName': vm.firstName,
                'LastName': vm.lastName,
                'EmailAddress': vm.emailAddress,
                'Company': vm.company,
                'Password': vm.password1,
                'ConfirmPassword': vm.password2
            };
            $.ajax({
                url: 'Account/JsonRegister',
                type: "POST",
                data: d ,
                success: function (result) {
                },
                error: function (result) {
                }
            });
        },
    };


    return vm;

    //#region Internal Methods
    function activate() {
        logger.log('Login Screen Activated', null, 'login', true);
        return true;
    }
    //#endregion
});

In der $ajax-Aufruf wie gebe ich die AntiForgeryToken? Auch wie erstelle ich die token auch?

InformationsquelleAutor jmogera | 2013-03-14
  1. 7

    Ich würde Lesen dieser Artikel, wie antiforgery Token mit javascript. Der Artikel ist geschrieben für WebApi, aber es kann leicht angewendet werden, um eine MVC-controller, wenn Sie möchten.

    Die kurze Antwort ist etwas wie dieses:
    In Ihrem cshtml anzeigen:

    <script>
    @functions{
        public string TokenHeaderValue()
        {
            string cookieToken, formToken;
            AntiForgery.GetTokens(null, out cookieToken, out formToken);
            return cookieToken + ":" + formToken;                
        }
    }

    $.ajax("api/values", {
        type: "post",
        contentType: "application/json",
        data: {  }, //JSON data goes here
        dataType: "json",
        headers: {
            'RequestVerificationToken': '@TokenHeaderValue()'
        }
    });
</script>

    Dann in Ihrem asp.net controller müssen Sie zur Validierung der token-wie so:

    void ValidateRequestHeader(HttpRequestMessage request)
{
    string cookieToken = "";
    string formToken = "";

    IEnumerable<string> tokenHeaders;
    if (request.Headers.TryGetValues("RequestVerificationToken", out tokenHeaders))
    {
        string[] tokens = tokenHeaders.First().Split(':');
        if (tokens.Length == 2)
        {
            cookieToken = tokens[0].Trim();
            formToken = tokens[1].Trim();
        }
    }
    AntiForgery.Validate(cookieToken, formToken);
}

    Den Grund Sie will es pass in den Kopf ist, weil wenn Sie übergeben Sie es als parameter-Daten parameter, in deinem ajax-Aufruf, innerhalb der querystring oder den Körper der Anfrage. Dann wird es schwieriger für Sie, um die antiforgery token für alle Ihre verschiedenen Szenarien. Da haben Sie, um Deserialisieren den Körper und dann finden Sie den token ein. In der Header ziemlich konsistent und einfach abrufen.

    ****edit-ray**

    Hier ist ein Beispiel für eine Aktion filter, die Sie verwenden können, um die Attribut-web-api-Methoden, um zu überprüfen, ob eine antiforgerytoken zur Verfügung.

    using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.Helpers;
using System.Web.Http.Filters;
using System.Net.Http;
using System.Net;
using System.Threading.Tasks;
using System.Web.Http.Controllers;
using System.Threading;

namespace PAWS.Web.Classes.Filters
{
    public class ValidateJsonAntiForgeryTokenAttribute : FilterAttribute, IAuthorizationFilter
    {
        public Task<HttpResponseMessage> ExecuteAuthorizationFilterAsync(HttpActionContext actionContext, CancellationToken cancellationToken, Func<Task<HttpResponseMessage>> continuation)
        {
            if (actionContext == null)
            {
                throw new ArgumentNullException("HttpActionContext");
            }

            if (actionContext.Request.Method != HttpMethod.Get)
            {
                return ValidateAntiForgeryToken(actionContext, cancellationToken, continuation);
            }

            return continuation();
        }

        private Task<HttpResponseMessage> FromResult(HttpResponseMessage result)
        {
            var source = new TaskCompletionSource<HttpResponseMessage>();
            source.SetResult(result);
            return source.Task;
        }

        private Task<HttpResponseMessage> ValidateAntiForgeryToken(HttpActionContext actionContext, CancellationToken cancellationToken, Func<Task<HttpResponseMessage>> continuation)
        {
            try
            {
                string cookieToken = "";
                string formToken = "";
                IEnumerable<string> tokenHeaders;
                if (actionContext.Request.Headers.TryGetValues("RequestVerificationToken", out tokenHeaders))
                {
                    string[] tokens = tokenHeaders.First().Split(':');
                    if (tokens.Length == 2)
                    {
                        cookieToken = tokens[0].Trim();
                        formToken = tokens[1].Trim();
                    }
                }
                AntiForgery.Validate(cookieToken, formToken);
            }
            catch (System.Web.Mvc.HttpAntiForgeryException ex)
            {
                actionContext.Response = new HttpResponseMessage
                {
                    StatusCode = HttpStatusCode.Forbidden,
                    RequestMessage = actionContext.ControllerContext.Request
                };
                return FromResult(actionContext.Response);
            }
            return continuation();
        }
    }
}
    • Wie nennt man ValidateRequestHeader?
    • Ich möchte eine Aktion erstellen, filter, denn dies ist ein cross-cutting-concern-und einem aspect-oriented design. Auf diese Weise können Sie nur Attribut der Methoden, die Sie durchsetzen wollen diese Sicherheit auf.
    • FYI: Das Attribut implementiert IAuthorizationFilter aber die public void OnAuthorization( AuthorizationContext filterContext ) Methode fehlt.
    • Die Beschränkung bei diesem Ansatz ist, dass: die Seite hat ein Rasiermesser Seite .cshtml und meinen WELLNESS-Seiten/Ansichten sind einfache HTML-Seiten, so dass es gewann ' T Arbeit für mich.
    • Jaider, das Konzept sollte funktionieren, für was auch immer Szenario, das Sie es wollen. Ja, der code nimmt die diese Annahmen aber die Konzepte bleiben konstant. Erstellen Sie eine antiforgery token auf dem server. Geben Sie auf dem client auf eine Anfrage. Der client muss dieses token auf jedem PUT/POST/DELETE-http-Anforderungen, indem Sie diesen token in einem http-header. Dies verhindert, dass cross-site request forgery.
    InformationsquelleAutor Evan Larsen
  2. 3

    Schnappen Wert von token in JS var

    var antiForgeryToken = $('input[name="__RequestVerificationToken"]').val();

    Dann einfach hinzufügen, um Ihre ajax-POST-Header in der beforeSend Funktion der .ajax nennen

    beforeSend: function (xhr, settings) {
            if (settings.data != "") {
                settings.data += '&';
            }
            settings.data += '__RequestVerificationToken=' +  encodeURIComponent(antiForgeryToken);
}
    • die _RequestVerfitcationToken input ich noch hinzufügen zu meinem code, aber wie und wo können den Wert der Eingabe? Ist das etwas, dass das automatische generieren? Sorry neu hier.
    • Ja,@Html.AntiForgeryToken() wird die verdeckte Eingabe automatisch, das ist das, was Sie sind, greifen Sie den Wert in js
    • Da bin ich mit dem HotTowel die Vorlage, die verwendet Durandal. Durandal folgt der Architektur, wo er sucht .html-Datei und .js-Datei. Die .html-Datei ist, wo haben wir das alle UI-Elemente. Die @ call ist nicht verfügbar hier, da es staright html-Datei und nicht eine cshtml-Datei.
    • Standardmäßig kann direkt html-Code, die Sie verwenden können, cshtml unter Durandal/Heiße Handtuch
    • ah dort gehen wir. Ich wusste nicht, dass. Lassen Sie mich versuchen.
    • Ich erstellte ein Rasiermesser .cshtml-Datei, aber keine Html.Helfer werden immer erkannt. Fehler 15 " - System.Web.Webseiten.Html-Code.HtmlHelper' enthält keine definition für 'AntiForgeryToken' und keine Erweiterungsmethode 'AntiForgeryToken' die Annahme ein erstes argument vom Typ 'System.Web.Webseiten.Html-Code.HtmlHelper' gefunden werden konnte (fehlt eine using-Direktive oder ein Assemblyverweis?)

    InformationsquelleAutor curtisk
  3. 1

    Ich kämpfte ein wenig mit diesem, da keine der bestehenden Antworten schien einwandfrei zu arbeiten, für den Fall meiner Durandal SPA app basiert auf dem Hot Towel Template.

    Hatte ich die Verwendung einer Kombination von Evan Larson und curtisk Antworten zu etwas, das funktionierte so denke ich sein soll.

    Meinem index.cshtml-Seite (Durandal unterstützt cshtml neben html) habe ich den folgenden knapp oberhalb der </body> tag

    @AntiForgery.GetHtml();

    Ich Hinzugefügt eine benutzerdefinierte filter-Klasse wie dies durch Evan Larson, aber ich hatte zu ändern, um Unterstützung zu suchen, bis Sie den cookie-Wert separat und nutzen __RequestVerificationToken wie der name anstatt RequestVerificationToken wie das ist, was geliefert wird, durch AntiForgery.GetHtml();

    using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.Helpers;
using System.Web.Http.Filters;
using System.Net.Http;
using System.Net;
using System.Threading.Tasks;
using System.Web.Http.Controllers;
using System.Threading;
using System.Net.Http.Headers;

namespace mySPA.Filters
{
    public class ValidateJsonAntiForgeryTokenAttribute : FilterAttribute, IAuthorizationFilter
    {
        public Task<HttpResponseMessage> ExecuteAuthorizationFilterAsync(HttpActionContext actionContext, CancellationToken cancellationToken, Func<Task<HttpResponseMessage>> continuation)
        {
            if (actionContext == null)
            {
                throw new ArgumentNullException("HttpActionContext");
            }

            if (actionContext.Request.Method != HttpMethod.Get)
            {
                return ValidateAntiForgeryToken(actionContext, cancellationToken, continuation);
            }

            return continuation();
        }

        private Task<HttpResponseMessage> FromResult(HttpResponseMessage result)
        {
            var source = new TaskCompletionSource<HttpResponseMessage>();
            source.SetResult(result);
            return source.Task;
        }

        private Task<HttpResponseMessage> ValidateAntiForgeryToken(HttpActionContext actionContext, CancellationToken cancellationToken, Func<Task<HttpResponseMessage>> continuation)
        {
            try
            {
                string cookieToken = "";
                string formToken = "";
                IEnumerable<string> tokenHeaders;
                if (actionContext.Request.Headers.TryGetValues("__RequestVerificationToken", out tokenHeaders))
                {
                    formToken = tokenHeaders.First();
                }
                IEnumerable<CookieHeaderValue> cookies = actionContext.Request.Headers.GetCookies("__RequestVerificationToken");
                CookieHeaderValue tokenCookie = cookies.First();
                if (tokenCookie != null)
                {
                    cookieToken = tokenCookie.Cookies.First().Value;
                }
                AntiForgery.Validate(cookieToken, formToken);
            }
            catch (System.Web.Mvc.HttpAntiForgeryException ex)
            {
                actionContext.Response = new HttpResponseMessage
                {
                    StatusCode = HttpStatusCode.Forbidden,
                    RequestMessage = actionContext.ControllerContext.Request
                };
                return FromResult(actionContext.Response);
            }
            return continuation();
        }
    }
}

    Später in meinem App_Start/FilterConfig.cs habe ich noch folgende

    public static void RegisterHttpFilters(HttpFilterCollection filters)
{
    filters.Add(new ValidateJsonAntiForgeryTokenAttribute());
}

    In der Application_Start-unter meiner Global.asax, fügte ich

    FilterConfig.RegisterHttpFilters(GlobalConfiguration.Configuration.Filters);

    Schließlich für meine ajax-calls habe ich noch eine Ableitung von curtisk Eingangs-lookup, um einen header hinzufügen, um meine ajax-request, in dem Fall eine login-Anfrage.

    var formForgeryToken = $('input[name="__RequestVerificationToken"]').val();

return Q.when($.ajax({
    url: '/breeze/account/login',
    type: 'POST',
    contentType: 'application/json',
    dataType: 'json',
    data: JSON.stringify(data),
    headers: {
        "__RequestVerificationToken": formForgeryToken
    }
})).fail(handleError);

    Dies bewirkt, dass alle meine post-Anforderungen zu verlangen, eine überprüfung token, basierend auf dem cookie und mit dem versteckten Formular Verifizierung-Token erstellt von AntiForgery.GetHtml();

    Aus meinem Verständnis dies wird verhindern, dass das Potenzial für cross-site-scripting-Attacken als angreifende Website benötigen würde, um in der Lage sein, sowohl die Cookies und die versteckte form Wert zu sein in der Lage, selbst zu überprüfen, das wäre viel schwieriger zu erwerben.

    • Ich habe diese Methode für meine Anwendung.. Aber es funktioniert nicht
    • Ich brauchte, um zu ändern, um zu Folgen, um dieses zu erhalten, um zu arbeiten: Legen Sie die cookiename in AntiForgeryConfig.CookieName zu __RequestVerificationToken (es hiess __RequestVerificationToken_fugh485 auf meinem system)
    • Auch, tokenCookie.Cookies.Ersten().Wert; gab mir die falschen cookie. Geändert tokenCookie.Cookies.Erste(c => c.Name == "__RequestVerificationToken").Wert;
    InformationsquelleAutor Denis Pitcher
  4. 0

    Wenn mit MVC 5 Lesen Sie diese Lösung!

    Ich habe versucht, die oben genannten Lösungen, aber Sie funktionierte nicht für mich, die Aktion Filter wurde nie erreicht, und ich konnte nicht herausfinden, warum. Das MVC-version wird nicht erwähnt, aber ich werde davon ausgehen, es war die version 4. Ich bin mit version 5 in meinem Projekt und endete mit der folgenden Aktion filter:

    using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.Mvc;
using System.Web.Mvc.Filters;

namespace SydHeller.Filters
{
    public class ValidateJSONAntiForgeryHeader : FilterAttribute, IAuthorizationFilter
    {
        public void OnAuthorization(AuthorizationContext filterContext)
        {
            string clientToken = filterContext.RequestContext.HttpContext.Request.Headers.Get(KEY_NAME);
            if (clientToken == null)
            {
                throw new HttpAntiForgeryException(string.Format("Header does not contain {0}", KEY_NAME));
            }

            string serverToken = filterContext.HttpContext.Request.Cookies.Get(KEY_NAME).Value;
            if (serverToken == null)
            {
                throw new HttpAntiForgeryException(string.Format("Cookies does not contain {0}", KEY_NAME));
            }

            System.Web.Helpers.AntiForgery.Validate(serverToken, clientToken);
        }

        private const string KEY_NAME = "__RequestVerificationToken";
    }
}

    -- Notieren Sie sich die using System.Web.Mvc und using System.Web.Mvc.Filters, nicht die http Bibliotheken (ich glaube, das ist eines der Dinge, die geändert mit MVC-v5. --

    Dann einfach den filter anwenden [ValidateJSONAntiForgeryHeader] auf Ihre Aktion (oder controller) und es sollte aufgerufen werden, richtig.

    In meinem layout-Seite rechts oben </body> ich habe @AntiForgery.GetHtml();

    Schließlich in meinem Rasiermesser Seite, ich habe das ajax-Aufruf wie folgt:

    var formForgeryToken = $('input[name="__RequestVerificationToken"]').val();

$.ajax({
  type: "POST",
  url: serviceURL,
  contentType: "application/json; charset=utf-8",
  dataType: "json",
  data: requestData,
  headers: {
     "__RequestVerificationToken": formForgeryToken
  },
     success: crimeDataSuccessFunc,
     error: crimeDataErrorFunc
});
    InformationsquelleAutor blubberbo
Schreibe einen Kommentar