我只是通过修改默认的LogOn表单来做一个简单的ASP.NET MVC 3示例的快速测试。根据this article,隐藏字段__RequestVerificationToken
和Cookie __RequestVerificationToken_Lw__
必须包含与Html.AntiForgeryToken()
生成的值相同的值。但是,当我在小提琴中获得它们时,它不完全一样,看着MVC 3源代码,方法GetAntiForgeryTokenAndSetCookie
似乎没有使用salt值来生成cookie。 MVC 3有没有变化?为什么AntiForgeryToken的隐藏字段与我的机器上的Cookie不同?
忘了说我仍然可以使用普通或Ajax POST请求成功登录。
这里是原始日志从小提琴:
POST http://localhost:51713/Account/LogOn HTTP/1.1
Referer: http://localhost:51713/Account/LogOn
Content-Length: 256
Origin: http://localhost:51713
X-Requested-With: XMLHttpRequest
Content-Type: application/x-www-form-urlencoded
Cookie: __RequestVerificationToken_Lw__=OIRtVqUvNt/LfDGeoVy3W1VhdKN7MwdbUZmRNScz4NqS4uV0I0vQH2MHg77SsVhcinK5SJi9mVcdBUWk2VMiPTk8EMUN2Zq0X4ucK8XQ3/zr6NoiIvVF73Bq8ahbFaY/IrNrWY7mmzvO9j/XVLNN2lNqgCd6I3UGZAw3/nlOmpA=
__RequestVerificationToken=zeDS%2F8MZE%2BLf%2FrRhevwN51J7bOE3GxlGNLQc8HogwFctF7glU1JboHePTTHa5YFe9%2FD2sY7w167q53gqvcwYZG1iZeecdnO4fdg6URdR4RUR%2BjIgk1apkXoxQ2xg48REfv4N5D4SHKU4MAf30Diy0MVyyF9N2Dl7uUGT6LbKHZU%3D&UserName=Tien&Password=tien&RememberMe=false
作为旁注 - AntiForgery令牌旨在用于应用程序的非公开部分(用户已经通过身份验证)。在公共登录表单上使用它们是毫无意义的。 –
LogOn表单仅用于测试目的。 –