在这个假设的场景中,我在页面上显示消息列表。
一段 javascript -
Edit(id)另一个 javascript 片段 -
Save(id)根据 Razor Pages 的 AntiForgery 规则,POST 会触发 404,因为它缺少正确的令牌。由于我没有使用
<form>并且,由于理论上我可以选择并行编辑多条消息,因此我不确定如何正确实现
@Html.AntiForgeryToken()我想知道是否有一种正确的方法来处理这种情况,考虑到防伪功能,或者我是否必须忍受它并围绕它构建?我可以使用
[IgnoreAntiforgeryToken]暂时,
MessageManager.MessagesList<TextMessage>@foreach (var item in Model.Messages) {
<div id="[email protected]">
<label class="form-label">@item.Type:</label>
@{
var result = Markdown.ToHtml(item.Message, pipeline);
@Html.Raw(result)
}
</div>
<div class="mb-3 text-end">
<a href="#" onclick="Edit(@item.Id)">✏</a>
<a href="#" onclick="Delete(@item.Id)">❌</a>
</div>
}
@section Scripts {
<script>
function Edit(messageId) {
$.get(
"/Messages/_EditMessage?messageId=" + messageId,
function (str) {
$('#message_' + messageId).html(str);
}
);
}
function Save(messageId, content) {
$.post(
"/Messages/_EditMessage?messageId=" + messageId,
{ NewMessage: $('#NewMessage_' + messageId).val() },
function (str) {
$('#message_' + messageId).html(str);
}
);
}
</script>
}
@if (Model.Edit) {
<div class="mb-3">
<label class="form-label">@Model.Message.Type</label>
<textarea class="form-control" id="[email protected]" rows="@(Model.Message.Message.Count(c => c == '\n') + 1)">@Model.Message.Message</textarea>
</div>
<div>
<button class="btn btn-outline-success" onclick="Save(@Model.Message.Id)">Save</button>
</div>
}
else {
var result = Markdown.ToHtml(Model.Message.Message, pipeline);
<label class="form-label">@Model.Message.Type:</label>
@Html.Raw(result)
}
[IgnoreAntiforgeryToken]
public class _EditMessageModel : PageModel
{
public TextMessage Message { get; set; } = null!;
public bool Edit { get; set; }
[BindProperty] public string NewMessage { get; set; } = string.Empty;
public IActionResult OnGet(int messageId) {
var message = MessageManager.Messages.FirstOrDefault(m => m.Id == messageId);
if (message is null)
return NotFound(messageId);
Message = message;
Edit = true;
return Page();
}
public IActionResult OnPost(int messageId) {
var message = MessageManager.Messages.FirstOrDefault(m => m.Id == messageId);
if (message is null)
return NotFound(messageId);
Message = message;
Message.Message = NewMessage;
Edit = false;
return Page();
}
}
我是否为每条消息生成一个令牌,然后以某种方式将其收集起来并与我的 POST 一起发送,或者......?
是的,您需要检索令牌并将其添加到每个
POST根据 learnrazorpages.com 上的页面:
如果在请求中省略该值,服务器将返回 400 Bad Request 结果。
这个SO答案提供了一个函数,可以从您的问题中调用
save()postinput@Html.AntiForgeryToken()@Html.AntiForgeryToken()View.cshtml为了简单起见,每次调用
save()addAntiForgeryToken()post@section Scripts {
<script>
function Edit(messageId) {
$.get(
"/Messages/_EditMessage?messageId=" + messageId,
function (str) {
$('#message_' + messageId).html(str);
}
);
}
function Save(messageId, content) {
let data = { NewMessage: messageId };
data = addAntiForgeryToken(data);
console.log(data);
$.post(
"/Messages/_EditMessage?messageId=" + messageId,
data,
function (str) {
$('#message-response').html(str);
}
);
}
// CSRF (XSRF) security
// https://stackoverflow.com/questions/73037094/how-to-do-an-ajax-post-with-mvc-antiforgerytoken
function addAntiForgeryToken(data) {
//if the object is undefined, create a new one.
if (!data) {
data = {};
}
//add token
const tokenInput = $('input[name=__RequestVerificationToken]');
if (tokenInput.length) {
data.__RequestVerificationToken = tokenInput.val();
}
return data;
}
</script>
}