在发布我的 ASP.NET MVC Web 应用程序的新版本后,我经常看到在浏览网站时抛出此异常:
System.Web.Mvc.HttpAntiForgeryException:所需的防伪令牌未提供或无效。 ---> System.Web.HttpException:视图状态 MAC 验证失败。如果此应用程序由 Web Farm 或集群托管,请确保配置指定相同的 validationKey 和验证算法。 AutoGenerate 不能在集群中使用。 ---> System.Web.UI.ViewStateException: 无效的视图状态。
在我关闭 Firefox 之前,我在 Web 应用程序中访问的每个页面都会继续出现此异常。重新打开 Firefox 后,该站点运行良好。知道发生了什么吗?
补充说明:
【问题讨论】:
标签: asp.net-mvc
在幕后,MVC AntiForgeryToken 属性使用机器密钥进行加密。如果您未在 web.config 中指定机器密钥(请参阅here),ASP.NET 会自动为您生成一个(full description)。
如果重新启动 ASP.NET 应用程序(例如,执行 iisreset),浏览器 cookie 中的 AntiForgeryToken 仍将使用旧机器密钥加密,因此它会因上述错误而崩溃。
因此,在使用 MVC 时,您应该始终在 web.config 中指定机器密钥,例如
<configuration>
<system.web>
<machineKey
validationKey="21F090935F6E49C2C797F69BBAAD8402ABD2EE0B667A8B44EA7DD4374267A75D7AD972A119482D15A4127461DB1DC347C1A63AE5F1CCFAACFF1B72A7F0A281B"
decryptionKey="ABAA84D7EC4BB56D75D217CECFFB9628809BDB8BF91CFCD64568A145BE59719F"
validation="SHA1"
decryption="AES"
/>
...
【讨论】:
如果您在服务器场中,请确保每台服务器上的机器密钥都相同。
【讨论】:
我也有这个问题,期望用户清除缓存、cookie 或刷新页面是不可接受的。
将机器密钥添加到 web.config 将解决此问题。我使用此工具快速生成密钥,因此在开发过程中看不到这些错误,然后在网站投入生产时正确生成密钥。
【讨论】: