使用CORS预检OPTIONS请求的Ajax防伪POST(302重定向)

时间:2016-05-27 13:49:20

标签: jquery ajax asp.net-mvc cors antiforgerytoken

我最近更新了一个我正在努力检查所有POST请求上的防伪令牌的网站。对于ajax请求,我已经安装了一个prefilter来检查防伪标记并将其添加到标题中

$.ajaxPrefilter(function (options, localOptions, jqXHR) {
    if (options.type == "POST") {
        var token = GetAntiForgeryToken();
        jqXHR.setRequestHeader(token.name, token.value);
    }
});

当以管理员身份登录时,该站点还具有管理工具,该管理员使用CORS将数据发送到单独的管理站点。其中一个工具是AJAX发布请求。标题已添加到请求中,并且它可以正常工作。

另一个工具是GET请求,它返回一个表单,该表单显示在对话框中。这很好用。但是,当提交表单时,预检OPTIONS请求遇到302,我收到错误“预检的响应无效(重定向)”

如果我删除了ajaxPrefilter,表单帖子可以使用,但是直接发布请求却没有。启用Prefilter后,直接发布请求有效,但表单发布没有。我很丢失。 Access-Control-Allow-Headers中允许使用防伪标头。对两者的要求是:

OPTIONS http://localhost:64789/Example/Example/?_=1464356730712 HTTP/1.1
Host: localhost:64789
Connection: keep-alive
Access-Control-Request-Method: POST
Origin: http://localhost:64947
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36
Access-Control-Request-Headers: __requestverificationtoken, accept, content-type
Accept: */*
Referer: http://localhost:64947/
Accept-Encoding: gzip, deflate, sdch
Accept-Language: en-GB,en-US;q=0.8,en;q=0.6

这个返回302。

OPTIONS http://localhost:64789/Example2/Example2/ HTTP/1.1
Host: localhost:64789
Connection: keep-alive
Access-Control-Request-Method: POST
Origin: http://localhost:64947
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36
Access-Control-Request-Headers: __requestverificationtoken, accept, content-type
Accept: */*
Referer: http://localhost:64947/
Accept-Encoding: gzip, deflate, sdch
Accept-Language: en-GB,en-US;q=0.8,en;q=0.6

这个返回200.

任何帮助都非常有用。

2 个答案:

答案 0 :(得分:0)

我认为您忘记为您的表单发送内容类型标题。尝试添加此答案中的一些内容类型:https://stackoverflow.com/a/35452170/1727132

答案 1 :(得分:0)

通过将[HttpGet]属性添加到表单的get方法来解决此问题。

相关问题
最新问题