ASP.NET MVC 3 网站防伪令牌仅在 IE 上失败

Question

在我的 MVC 3 项目中，我有一个使用 MVC 3 中内置的防伪逻辑的登录页面。

在 Firefox 和 Opera 上它工作得很好，但在 IE 上我得到了这个：

A required anti-forgery token was not supplied or was invalid.

我真的很困惑为什么只有 IE 会遇到这种情况，我检查了 cookie 设置，它们的设置与其他浏览器相同，所以我在这里迷路了。

当我使用防伪代码时，我会同时使用 SALT 和域检查（这无关紧要，但值得一提）。

查看代码如下：

@model login.Models.LogOnModel

@{
    ViewBag.Title = "Log On";
}

<script src="@Url.Content("~/Scripts/jquery.validate.min.js")" type="text/javascript"> </script>
<script src="@Url.Content("~/Scripts/jquery.validate.unobtrusive.min.js")" type="text/javascript"></script>

<script type="text/javascript">
$(function () {
    //focus on form.
    $("#UserName").focus();
});
</script>

 @using (Html.BeginForm("LogOn", "Account", FormMethod.Post, new { @class = "form login" })) {
@Html.AntiForgeryToken("!@#Hq4(", ViewBag.AppDomain, "/")
<div id="box">
<h1>Login</h1>
Please enter your username and password. @Html.ActionLink("Register", "Register") if you don't have an account.
<div class="block" id="block-login">
    <h2>
        Login Form</h2>
    <div class="content login">
              @Html.ValidationSummary(true)
        <div class="group buffer">
            <div class="left">
                <label class="label right">
                    @Html.LabelFor(m => m.UserName)</label>
            </div>
            <div class="right">
                @Html.TextBoxFor(m => m.UserName, new { @class = "text_field" })
                @Html.ValidationMessageFor(m => m.UserName)
            </div>
        </div>
        <div class="group buffer">
            <div class="left">
                <label class="label right">
                    @Html.LabelFor(m => m.Password)</label>
            </div>
            <div class="right">
                @Html.PasswordFor(m => m.Password, new { @class = "text_field" })
                @Html.ValidationMessageFor(m => m.Password)
            </div>
        </div>
        <div class="group buffer">
            <div class="left">
                <label class="label right">
                    @Html.LabelFor(m => m.RememberMe)</label>
            </div>
            <div class="right">
                @Html.CheckBoxFor(m => m.RememberMe)
            </div>
        </div>
        <div class="group navform buffer">
            <div class="right">
                <button class="button" type="submit">
                    <img src="@Url.Content("~/Content/images/icons/key.png")" alt="Save" />
                    Login
                </button>
            </div>
        </div>
    </div>
</div>
</div>
}

ViewBag.AppDomain 是 web.config 中的一个值，用于在测试和生产使用期间轻松设置。

如果我从防伪标签中删除域和路径部分，它就可以正常工作。所以这两者之一一定是问题所在。

Answer 1

我在使用自定义 AntiCSRF 令牌创建器时遇到了类似的问题。我没有使用 MVC3，但它可能是一个类似的问题。

对我来说，问题是我在本地用于测试网站的域名中有一个下划线。理论上，DNS 名称不能有下划线（即使“计算机名”可以），所以 IE 没有保存 cookie。

这可能不是同一个问题，但可能与测试环境和 IE 处理 cookie 的方式有关。

这是一篇关于 IE cookie 处理内部机制的非常有趣的文章，它可能会帮助您发现问题。

http://blogs.msdn.com/b/ieinternals/archive/2009/08/20/wininet-ie-cookie-internals-faq.aspx

Answer 2

我在一个用 VS2010 构建并通过 IE 11 查看的 MVC3 项目中遇到了与此相同的问题（它在 Firefox 中运行良好）。

我设法绕过它的方法是将 cookieless="UseCookies" 添加到根目录中 web.config 文件的“forms”元素中：

<authentication mode="Forms">
  <forms loginUrl="~/Account/LogIn" timeout="2880" slidingExpiration="true" requireSSL="false" cookieless="UseCookies"/>
</authentication>

Answer 3

不是我最喜欢的想法，但在我弄清楚这一点之前，我取出了让 IE 开心的域和路径参数。

如果有人有建议，我很乐意，但现在我会解决只是给令牌加盐。

感谢大家的帮助。