AJAX AntiForgery令牌没有调用控制器方法

时间:2016-01-29 02:41:31

标签: json ajax asp.net-mvc-4 controller antiforgerytoken

我正在努力用[ValidateAntiForgeryToken]属性调用我的控制器方法。

我的cshtml / js代码:

    var wizardRegisterJsonRequest = {
        Email: email,
        Password: password,
        ConfirmPassword: confirmPassword,
        Name: name
    };


    $.ajax({
        type: 'POST',
        dataType: "html",
        url: 'http://localhost:50209/GetAllFonts/WizardRegister',
        data: AddAntiForgeryToken(wizardRegisterJsonRequest),
        beforeSend: function () {
            $('#create_account_form').data('busy', true);
            $('#create_account_busy').show();
        },
        success: function (data) {
            if (data.Success === true) {
                // all good here
            }

            $('#create_account_validation_summary').text(data.Message);
            $('#create_account_validation_summary').show();
        },
        complete: function () {
            $('#create_account_form').data('busy', false);
            $('#create_account_busy').hide();
        }
    });

    AddAntiForgeryToken = function (data) {
            alert("adding anti forgery");
          data.__RequestVerificationToken = $('#anti_forgery_token').val();
          return data;
    };

控制器代码:

    [ValidateAntiForgeryToken]
    [HttpPost]
    public JsonResult WizardRegister(User usrDetails)
    //public JsonResult WizardLogOn(User usr)
    {
        // string test = ""; // this method WizardRegister is not getting called
    }

用户模型:

public class User
{
    public string Email { get; set; }
    public string Password { get; set; }
    public string ConfirmPassword { get; set; }
    public string Name { get; set; }
    public string Phone { get; set; }
    public string __RequestVerificationToken { get; set; }
}

我不确定我是否需要在User模型中使用__RequestVerificationToken。我是第一次使用AntiForgery。

请让我知道我哪里出错...

谢谢, 罗汉。

更新:

查看/表单代码:

@using (Html.BeginForm(null, null, FormMethod.Post, new { id = "create_account_form" }))
{
    @Html.AntiForgeryToken()
    <fieldset>
        <div class="input-fixed">
            <span class="mandatory_wizard">* </span>
            <input type="text" id="registrName" name="registrName" value="rohan" class="name" placeholder="Name">
        </div>
        <div class="input-fixed">
            <span class="mandatory_wizard">* </span>
            <input type="text" id="registrEmail" name="registrEmail" class="email" value="rohanskosht@gmail.com" placeholder="Email">
        </div>
        <div class="input-fixed">
            <span class="mandatory_wizard">&nbsp; </span>
            <input type="text" class="phone" placeholder="Phone Number">
        </div>
        <div class="input-fixed">
            <span class="mandatory_wizard">* </span>
            <input type="password" id="registerPassword" name="registerPassword" value="12345678" class="password" placeholder="Password: Must be longer than 8 characters.">
        </div>
        <div class="input-fixed">
            <span class="mandatory_wizard">* </span>
            <input type="password" id="registerConfirmPassword" name="registerConfirmPassword" value="12345678" class="confirm-password" placeholder="Confirm Password">
        </div>
        <input type="submit" class="btn-modal-login" value="Create your account &gt;&gt;">
        <img id="create_account_busy" style="display: none;" src="./Launch Campaign _ Teeyoot_files/busy.gif" alt="Loading...">
    </fieldset>
}

1 个答案:

答案 0 :(得分:1)

@Html.AntiForgeryToken()使用name="__RequestVerificationToken"生成隐藏输入。 (它没有id属性,因此$('#anti_forgery_token').val();将返回undefined。

您可以使用

访问该值
var token= $('[name=__RequestVerificationToken]').val();

但是,我强烈建议您使用HtmlHelper方法(@Html.TextBoxFor(m => m.Name)@Html.PasswordFor(m => m.Password)等)为您的属性生成输入,而不是生成手动html然后您只需使用

data: $('form').serialize()
在ajax调用中

(然后您可以删除大部分脚本)。您也不应该对网址进行硬编码(只要您将其投入生产就会失败)。您的脚本只需要

$.ajax({
    type: 'POST',
    dataType: "html",
    url: '@Url.Action("WizardRegister", "GetAllFonts")', 
    data: $('form').serialize(),
    beforeSend: function () {
        ....

您还应该为每个属性添加@Html.ValidationMessageFor()以获得客户端验证,因此无法提交无效表单。

附注:从您的代码中不清楚为什么要使用ajax。如果用户正在注册,那么如果成功则需要重定向(如果没有则显示验证错误),因此ajax是没有意义的