c# - .Net Core 中的 .AspNetCore.Antiforgery.xxxxxxx cookie 是什么？

Question

我试图在 .Net Core 中使用 ValidateAntiForgeryToken，但我得到的是 .AspNetCore.Antiforgery.xxxxxxx cookie 丢失。

这个 .AspNetCore.Antiforgery.xxxxxxx cookie 是什么？

Answer 1

ASP.NET Core 查找此 cookie 以找到 X-CSRF token 。

The ValidateAntiForgeryToken is an action filter that can be applied to an individual action, a controller, or globally for the app. Requests made to actions that have this filter applied will be blocked unless the request includes a valid antiforgery token.

一般而言，ASP.NET Core 可能会在 cookie 或 header 中查找 token 。所以你可能会遇到这样的情况

• 使用 header 代替 cookie 来传递 token
• 带有 token 的 cookie 的名称与 ASP.NET Core 预期的名称不同。

默认情况下，ASP.NET Core 将生成并期望一个以 DefaultCookiePrefix (".AspNetCore.Antiforgery.") 开头的唯一 cookie 名称。

这可以使用防伪选项 CookieName 覆盖:

services.AddAntiforgery(options => options.CookieName = "X-CSRF-TOKEN-COOKIENAME");

对于 .Net Core 2.0.0 or greater there will be changes :

引用: https://learn.microsoft.com/en-us/dotnet/api/Microsoft.AspNetCore.Antiforgery.AntiforgeryOptions?view=aspnetcore-2.0

为此使用以下内容:

services.AddAntiforgery(options => options.Cookie.Name = "X-CSRF-TOKEN-COOKIENAME");

如果谈论标题，名称可以指定为:

services.AddAntiforgery(options => options.HeaderName = "X-XSRF-TOKEN");

---

调查:

• Preventing Cross-Site Request Forgery (XSRF/CSRF) Attacks in ASP.NET Core
• 自述文件在 Antiforgery repo包含示例链接
• 所以:Using the antiforgery cookie in ASP.NET Core but with a non-default CookieName