Início / coding / Perguntas / 78575114
Accepted
lonix
Asked: 2024-06-04 19:30:02 +0800 CST

Por que o token antifalsificação não foi adicionado ao formulário Razor Pages com ação?

  • 772

Nas páginas ASP.NET Core Razor, um token antifalsificação é adicionado automaticamente a um formulário:

A geração automática de tokens antifalsificação para elementos de formulário HTML ocorre quando a tag contém o atributo method="post" e uma das seguintes afirmações é verdadeira:

  • O atributo action está vazio (action="").
  • O atributo action não é fornecido ().

Estou tão acostumado com esse comportamento automático que, quando um formulário tem uma ação, esqueço de adicionar manualmente um token e, claro, o POST falhará com 400 (e perderei muito tempo depurando).

Qual é o motivo desse comportamento - por que o token não é adicionado quando há uma ação?

Além disso, existe alguma maneira durante o desenvolvimento de registrar erros mais informativos do que POST '/somepage' responded '400'quando ocorre um erro antifalsificação? Eu tropecei nessa pegadinha várias vezes, então me pergunto se posso evitá-la no futuro.

asp.net-core

1 respostas

  1. Best Answer

    Quando você define valores para o atributo asp-*( page, actionetc), o auxiliar de tag usa o sistema de roteamento para gerar um valor para o actionatributo que é garantido como um ponto final local. Se você definir o actionatributo manualmente, ele poderá apontar para outro site e o campo csrf não terá sentido, portanto, não há sentido em renderizá-lo.

    Do código-fonte ( https://github.com/dotnet/aspnetcore/blob/main/src/Mvc/Mvc.TagHelpers/src/FormTagHelper.cs )

    if (string.IsNullOrEmpty(attributeValue))
{
    // User is using the FormTagHelper like a normal <form> tag that has an empty or complex IHtmlContent action attribute.
    // e.g. <form action="" method="..."> or <form action="@CustomUrlIHtmlContent" method="...">

    if (string.Equals(Method ?? "get", "get", StringComparison.OrdinalIgnoreCase))
    {
        antiforgeryDefault = false;
    }
    else
    {
        // Antiforgery default is already set to true
    }
}
else
{
    // User is likely using the <form> element to submit to another site. Do not send an antiforgery token to unknown sites.
    antiforgeryDefault = false;
}

    Então a solução é usar os asp-atributos para definir a ação.

    • 1

relate perguntas