html ajax实现ntlm,从一个AJAX POST获取NTLM挑战只需一页

最新推荐文章于 2022-05-11 17:46:11 发布
最新推荐文章于 2022-05-11 17:46:11 发布
阅读量174 收藏
点赞数
文章标签: html ajax实现ntlm

在这里颇为神秘。我有一个使用Windows身份验证的ASP.NET MVC 4 Web应用程序,已经维护了18个月以上,没有问题。最近,它被部署到一个新的网站,我遇到了以下非常奇怪的行为。从一个AJAX POST获取NTLM挑战只需一页

我正在使用jQuery 1.8.2 $.ajax调用POST数据到服务器端点来更新数据。这工作得很好,除了在一个页面上,AJAX POST触发新的NTLM协商。 Chrome,IE和Firefox中也出现同样的问题。尽管这一问题是在所有的浏览器一样,它体现在略微不同的方式:

的Firefox:从服务器接收到一个401质询响应,并提出了一个用户名/密码对话框中无限循环要求的凭证。取消凭证检查会导致请求失败并显示未经授权的响应。

IE:服务器没有响应,请求状态在网络监视器中显示为“(中止)”

Chrome:服务器没有响应,请求状态在网络监视器中显示“(失败)” 。

核心问题似乎是Connection: keep-alive标头没有与有问题的AJAX请求一起发送,但在其他情况下。但是,底层JavaScript代码几乎相同,并且AJAX调用在也设置为使用Windows身份验证的开发环境中正常工作。

此外,试图在beforeSend回调中设置Connection请求标头没有任何效果。非常感谢您对问题根源的任何洞察,或解决两个AJAX POST之间存在差异的方法。

工作代码和请求头

$.ajax({

url: url,

type: "POST",

data: $("#myForm").serialize(),

cache: false,

success: function (response) {

}

});

Accept:*/*

Accept-Encoding:gzip, deflate

Accept-Language:en-US,en;q=0.8

Connection:keep-alive

Content-Length:621

Content-Type:application/x-www-form-urlencoded; charset=UTF-8

Host:www.xxx.yyy.zzz

Origin:http://www.xxx.yyy.zzz

Referer:http://www.xxx.yyy.zzz/app/resource/path

User-Agent:Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135 Safari/537.36

X-Requested-With:XMLHttpRequest

失败代码和请求头

$.ajax({

url: url,

type: "POST",

data: data,

cache: false,

success: function (data, status, xhr) {

}

});

WARN: Provisional headers are shown

Accept:*/*

Content-Type:application/x-www-form-urlencoded; charset=UTF-8

Origin:http://www.xxx.yyy.zzz

Referer:http://www.xxx.yyy.zzz/app/resource/item/1

User-Agent:Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135 Safari/537.36

X-Requested-With:XMLHttpRequest

我也看了在Chrome chrome://net-internals/#events观众网络的过程。以下是失败请求中的事件日志与偏离成功日志的位置的关系。如果失败的请求获得“HTTP/1.1 401 Unauthorized”,成功的请求将获得“HTTP/1.1 200 OK”响应,可能是由于存在Connection: keep-alive标头。

2303: URL_REQUEST

Start Time: 2015-04-28 13:53:41.788

t=14736 [st= 0] +REQUEST_ALIVE [dt=71]

t=14736 [st= 0] URL_REQUEST_DELEGATE [dt=0]

t=14736 [st= 0] +URL_REQUEST_START_JOB [dt=70]

--> load_flags = 2688000 (BYPASS_DATA_REDUCTION_PROXY | MAYBE_USER_GESTURE | REPORT_RAW_HEADERS | VERIFY_EV_CERT)

--> method = "POST"

--> priority = "LOW"

--> upload_id = "0"

--> url = "http://..."

t=14736 [st= 0] URL_REQUEST_DELEGATE [dt=0]

t=14736 [st= 0] HTTP_CACHE_GET_BACKEND [dt=0]

t=14736 [st= 0] URL_REQUEST_DELEGATE [dt=0]

t=14736 [st= 0] +HTTP_STREAM_REQUEST [dt=0]

t=14736 [st= 0] HTTP_STREAM_REQUEST_BOUND_TO_JOB

--> source_dependency = 2305 (HTTP_STREAM_JOB)

t=14736 [st= 0] -HTTP_STREAM_REQUEST

t=14736 [st= 0] +HTTP_TRANSACTION_SEND_REQUEST [dt=0]

t=14736 [st= 0] HTTP_TRANSACTION_SEND_REQUEST_HEADERS

--> POST ... HTTP/1.1

Host: www.xxx.yyy.zzz

Connection: keep-alive

Content-Length: 105

Accept: */*

Origin: http://www.xxx.yyy.zzz

User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135 Safari/537.36

X-Requested-With: XMLHttpRequest

Content-Type: application/x-www-form-urlencoded; charset=UTF-8

Referer: http://www.xxx.yyy.zzz/app/resource/item/1

Accept-Encoding: gzip, deflate

Accept-Language: en-US,en;q=0.8

t=14736 [st= 0] HTTP_TRANSACTION_SEND_REQUEST_BODY

--> did_merge = true

--> is_chunked = false

--> length = 105

t=14736 [st= 0] -HTTP_TRANSACTION_SEND_REQUEST

t=14736 [st= 0] +HTTP_TRANSACTION_READ_HEADERS [dt=0]

t=14736 [st= 0] HTTP_STREAM_PARSER_READ_HEADERS [dt=0]

t=14736 [st= 0] HTTP_TRANSACTION_READ_RESPONSE_HEADERS

--> HTTP/1.1 401 Unauthorized

Content-Type: text/html

Server: Microsoft-IIS/7.5

WWW-Authenticate: Negotiate

WWW-Authenticate: NTLM

X-Powered-By: ASP.NET

X-UA-Compatible: IE=9

Date: Tue, 28 Apr 2015 18:53:41 GMT

Content-Length: 1293

编辑

与从控制台不同请求播放周围给出的结果的下表(下铬)。目前的基本URL是http://IPAddress /app/topic/item和所有测试只需执行$.ajax({ url: url, type: 'POST' })

+--------------------------------------+----------------------------+

| URL | Response |

+--------------------------------------+----------------------------+

| http://IP/app/topic/item/1/subitem/1 | net::ERR_INVALID_HANDLE |

| //IP/app/topic/item/1/subitem/1 | net::ERR_INVALID_HANDLE |

| /app/topic/item/1/subitem/1 | net::ERR_INVALID_HANDLE |

| 1/subitem/1 | net::ERR_INVALID_HANDLE |

| 1/foo | 404 (Not Found) [expected] |

| 1 | 302 (Redirect) [expected] |

+--------------------------------------+----------------------------+

因为错误只影响一个控制器的POST操作方法的一个子集,我最初以为这是一个服务器端的问题,但在发现缺少Connection标题的问题后,它实际上似乎是客户端问题。问题究竟如何触发对我来说仍然是一个谜。

我也确认了工作页面和问题页面的响应标题是相同的。最相关的是,在两种情况下总是返回Persistent-Auth: true标题。

2015-04-28

Lucas

+0

您是否尝试过从'ajax'调用执行'error'处理程序?你可能在这里得到一些额外的信息? –

+0

@christiandev是的。 Chrome返回一个net :: ERR_INVALID_HANDLE错误代码,IE的错误代码为12019,记录为ERROR_INTERNET_INCORRECT_HANDLE_STATE。 Firefox也会报告“无效句柄”。 –

+0

另一件事,我添加了匹配所有[POST]路由的[GET]路由,以防万一这是对IE和IWA已知的GET-before-POST问题的奇怪表现形式。这没有效果。 –

weixin_39993301
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ntlm.js:javascript中Microsoft NTLM实现。 允许您执行您一直想要的NTLM ajax
05-09
ntlm.js 通过HTTP的Microsoft NTLM身份验证的Javascript实现。 使您可以执行您一直想要的AJAX NTLM。 用法 Ntlm.setCredentials('domain', 'username', 'password'); var url = 'http://myserver.com/secret.txt'; if (Ntlm.authenticate(url)) { var request = new XMLHttpRequest(); request.open('GET', url, false); request.send(null); console.log(request.responseText); // => My super secret message stored on server. } 设置
html ajax实现ntlm,Javascript/Ajax NTLM Authentication
weixin_39999222的博客
06-17 215
You don't have to respond to the NTLM (Integrated Windows Authentication) challenge, your browser should do it for you, if properly configured. A number of additional complications are likely too.Ste...
html ajax实现ntlm,jquery – 在一个页面上通过AJAX POST获取NTLM挑战
weixin_35718351的博客
06-17 185
这里的奥秘很神秘。我有一个使用Windows身份验证的ASP.NET MVC 4 Web应用程序,已保存超过18个月没有问题。最近,它被部署到一个新的网站,我遇到了以下,非常奇怪的行为。我使用一个jQuery 1.8.2 $ .ajax调用POST数据到服务器端点来更新数据。这工作正常,除了在一个页面上,其中AJAX POST触发新的NTLM协商。在Chrome,IE和Firefox中也会出现同样...
html ajax实现ntlm,GitHub - erlandranvinge/ntlm.js: Implementation of Microsoft NTLM in javascript. All...
weixin_39919089的博客
06-17 203
ntlm.jsJavascript implementation of Microsoft NTLM authentication over HTTP. Gives you the possibility to do that AJAX NTLMyou've always wanted.UsageNtlm.setCredentials('domain', 'username', 'password...
html ajax实现ntlm,使用WCF设置NTLM身份验证到Sharepoint Web服务
weixin_39540834的博客
06-17 179
设置我的WCF服务以与Sharepoint Web服务进行通信时遇到了很多困难,特别是我正在尝试使用Lists.asmx和Copy.asmx服务.我使用http链接到sharepoint进行开发,但现在我们要切换到HTTPS链接.我获得了Web引用设置并更新了此链接,但是当它尝试调用服务(例如:GetListItems)时,它出错并出现以下错误:请求失败,HTTP状态为401:未经授权.然后我试...
c++实现LM和NTLM哈希
06-24
在vs2008下实现NTLM和LM哈希加密,包含MD4加密和DES加密函数 在vs2008下实现NTLM和LM哈希加密,包含MD4加密和DES加密函数
绕过NTLM认证方式的另一种方法.doc
05-16
### 绕过NTLM认证方式的另一种方法 #### 背景与意义 NTLM (NT LAN Manager) 是一种由Microsoft开发的安全协议,用于Windows环境中用户的认证。在默认配置下,许多Windows系统的telnet服务会启用NTLM认证,这对于...
NTLM.rar_NTLM
09-20
NTLM有其自身的安全问题,比如它不支持加密,只提供哈希保护,这意味着如果中间人截取了通信,他们可以获取到NT Hash,尽管这并不直接揭示密码,但这种哈希可以在彩虹表攻击中被破解。此外,NTLMv1的安全性低于NTLMv...
NTLM.ZIP_DELPHI NTLM_NTLM Authentication_authentication
最新发布
09-23
服务器回应一个挑战(Type 2 message),其中包含服务器名和一个随机生成的挑战值。客户端接收到挑战后,使用用户提供的凭证(如用户名和密码)生成一个加密的响应(Type 3 message),并将这个响应发送回服务器。...
html ajax实现ntlm,jquery - Getting an NTLM Challenge from an AJAX POST on just one page - Stack Overfl...
weixin_42302384的博客
06-17 166
Quite the mystery here. I have an ASP.NET MVC 4 web application using Windows Authentication that has been maintained for over 18 months without issue. Recently, it was deployed to a fresh site and I...
requests-ntlm, 请求的NTLM身份验证支持.zip
09-17
requests-ntlm, 请求的NTLM身份验证支持 请求 ntlm 这个包允许使用请求库进行 HTTP NTLM身份验证。用法HttpNtlmAuth 扩展请求 AuthBase,因此使用很简单:import requestsfrom requests_ntlm
通过Ajax实现不显示登录框的IIS-Windows集成身份验证登录
weixin_30716725的博客
01-10 91
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> ...
Flask访问报错 net::ERR_INVALID_HTTP_RESPONSE解决办法(转载)
liuchunlongya的博客
05-11 2569
最近用flask做毕设,出现了比较诡异的问题,访问页面的时候,经常会有些js或者css文件无法正常加载,查看浏览器控制台文件报错:net::ERR_INVALID_HTTP_RESPONSE 刷新页面以后,可能又会正常访问,单独访问某个报错的文件,访问又正常,换了360浏览器,测试还是会随机出现报错。 一开始以为是自己本地配置有什么问题,但对比了另外一个flask项目以后,发现配置都一样的。 经过几天测试发现资源只要是以缓存形式加载的,就有概率触发,而强制刷新网页则不会出现任何资源提示 net::ERR_
关于请求被挂起页面加载缓慢问题的追查
cx136295988的博客
08-10 2453
缘起   有用户反馈内部MIS系统慢,页面加载耗时长。前端同学们开组会提及此事,如何解决慢的问题。   最致命的是:偶发!你不能准确知道它抽风的时间点,无法在想要追查问题的时候必现它。这只是一方面,另外,慢的可能实在太多了,那么问题来了,是前端导致的还是后端的问题?   对慢的定义也有待商榷,多久算慢?如果这个页面加载大量数据耗时增加那我认为这是正常的。但这个时限超过了一个合理的
html $.post,jQuery $.post()方法的用法
weixin_30565101的博客
06-22 1125
在 jQuery 中,除了 $.get() 方法,我们还可以使用 $.post() 方法来通过 Ajax 向服务器请求获取数据。$.get() 方法和 $.post() 方法在使用方式上差不多,不过两者还是有一定的区别:get 方式不适合较大的数据量,并且它的请求信息会保存在浏览器缓存中,因此安全性不好;post 方式不存在上述的不足。语法:$.post(url,data,fn,type)$.po...
ajax,附带身份凭证的请求,withCredentials
haoyanyu_的博客
10-24 9935
附带身份凭证的请求 一般而言,对于跨域XMLHttpRequest或Fetch请求,浏览器不会发送身份凭证信息。如果要发送凭证信息,要设置XMLHttpRequest的某个特殊标志位。 对于附带身份凭证的请求,服务器不得设置Access-Control-Allow-Origin 的值为“*”。 原生js: var xhr = new XMLHttpReq
$.post的返回值添加在html中,$.get(), $.post(), $.ajax()小练习(用$.get()从服务器中获取图片文字输出到页面进行DOM操作;用$.post(),$.ajax()...
weixin_35650041的博客
06-18 249
用$.get()从服务器中获取图片文字输出到页面进行DOM操作:实例html>Ajax中的$.get()江湖门派查询$.get()请选择://此案例要访问服务器上的两个脚本//school.php:生成内容//detail.php:下拉列中的第一项对应的详细信息//1.自动生成下拉列表中的//varselect=$('select').load('inc/school.php');...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值