我在这里增加一个更好的答案,因为这是如此的痛苦,并回答了所有我想我会加我目前工作的解决方案在网络较差。
基本上(忽略各种选项),AntiForgeryToken通过添加一个会话cookie,然后在通过使用[ValidateAntiForgeryToken]属性装饰控制器发布表单时读取该会话cookie。
首先,在我们将任何东西修理为常规之前,请始终执行以下操作。
在web.config中创建一个machineKey,如下所示。
**注SHA1这就是这是不是真的很安全了,但另一个讨论**
谷歌 Generator和配置。
变化从“__RequestVerificationToken”默认的Cookie名称之一,将 不会被其他应用程序使用。 (我总是使用GUID)。
此功能是AntiForgeryConfig.CookieName = "YOUR_NAME";
创建新的自定义属性。
此错误似乎无缘无故地出现的原因是该cookie仅适用于会话的生命周期。出于各种原因,但主要是人们离开页面这一事实打开了非常非常非常长的时间,会话超时。由于会话超时,cookie不再有效。
另一个问题是,如果您在发布到控制器上有[Authorize]属性,那么在检查通过身份验证的人之前,事务流将触发HttpAntiForgeryException。 (当会话过期时,大多数基于cookie的认证过程中,用户不再通过认证)
解决此问题的方法是创建自定义[CustomValidateAntiForgeryToken]属性。
[AttributeUsage(AttributeTargets.Method | AttributeTargets.Class, Allo