.net核心-反伪造异常处理

时间:2020-04-07 07:16:24

标签: c# .net asp.net-core antiforgerytoken

我正在尝试在客户端上处理防伪异常,我想向用户显示一条相关消息,但是从.Net Core服务器获得的所有信息都是 400 Bad Request 响应,因此我试图用自己的回应来覆盖它。

所以我添加了过滤器:

using Microsoft.AspNetCore.Mvc.Core.Infrastructure;
using Microsoft.AspNetCore.Mvc.Filters;

namespace Website.Filters
{
    public class RedirectAntiforgeryValidationFailedResultFilter : IAlwaysRunResultFilter
    {
        public void OnResultExecuting(ResultExecutingContext context)
        {
            if (context.Result is IAntiforgeryValidationFailedResult result)
            {
                [overraid response]
            }
        }

        public void OnResultExecuted(ResultExecutedContext context)
        {            
            if (context.Result is IAntiforgeryValidationFailedResult result)
            {
                [overraid response]
            }
        }
    }
}

并在startup.cs上

services.AddAntiforgery(options =>
        {
                options.SuppressXFrameOptionsHeader = true;
                options.HeaderName = "......";
                options.Cookie.Name = ".....";
                options.Cookie.Path = "/";
                options.Cookie.Expiration = TimeSpan.FromDays(2);
       });

services.AddMvc(options =>
                options.Filters.Add<RedirectAntiforgeryValidationFailedResultFilter>()
                ).SetCompatibilityVersion(CompatibilityVersion.Version_2_2);

我正在使用此功能为用户设置防伪令牌

private static void SetToken(HttpContext context, IAntiforgery antiforgery)
{
    var tokens = antiforgery.GetAndStoreTokens(context);
    context.Response.Cookies.Append("....", tokens.RequestToken, new CookieOptions()
    {
        HttpOnly = false,
        Secure = true,
        MaxAge = TimeSpan.FromDays(2),
        SameSite = SameSiteMode.Strict
    });
}

我从来没有收到过[过分回应]。

您可以在下面的图像中看到结果是真正的AntiforgeryValidationFailedResult,并且仍然无法进入条件。 enter image description here

1 个答案:

答案 0 :(得分:0)

使用[ApiController]属性时,MVC将错误结果(状态码为400或更高的结果)转换为具有 ProblemDetails 的结果。 ProblemDetails 类型基于RFC 7807 specification,用于在HTTP响应中提供机器可读的错误详细信息。您可以了解有关此here的更多信息。

因此,为了解决这个问题,我不得不抑制地图客户端错误。

services.AddMvc(options => 
                options.Filters.Add<RedirectAntiforgeryValidationFailedResultFilter>())
                .SetCompatibilityVersion(CompatibilityVersion.Version_2_2)
                .ConfigureApiBehaviorOptions(options =>
                {
                    options.SuppressMapClientErrors = true;
                });
相关问题
最新问题