我在获取 Microsoft 的 MVC 时遇到问题[ValidateAntiForgeryToken]使用使用 Marionette & Backbone 编写的单页应用程序 (SPA)。问题似乎是MVC[ValidateAntiForgeryToken]方法无法看到我们作为 JSON 的一部分发送的令牌。我们认为这是因为令牌必须位于回复的表单部分，但 MrOggy85 说这不是问题（请参阅下面的答案）。

代码位于我的 api 控制器中，它使用属性路由 http://attributerouting.net/，我们假设这是导致问题的原因。一个典型的动作如下所示：

    // POST api/vizschemes/
    [POST("")]
    [Authorize(Roles = "...some role...")]
    [ValidateAntiForgeryToken]
    public ActionResult Add(CreateUpdateSmVizSchemeDto dto,  ICreateSmVizScheme service)
    {
       ... code to update the VizScheme and return json
    }

还有其他人克服这个吗？很多谷歌搜索都出现了评论post http://www.asp.net/single-page-application/overview/introduction/knockoutjs-template "ASP.NET MVC 通过 AntiForgery 类和 [ValidateAntiForgeryToken] 属性提供对防伪令牌的内置支持。目前，此功能尚未内置到 Web API 中。但是，(KnockoutJS) 模板包含 Web API 的自定义实现。”。这表明他们自己写，我可以做到。

有其他人遇到过这个问题吗？如果是的话，你是如何解决的？我是否遗漏了一些明显的东西，或者我应该编写自己的 ValidateAntiForgeryToken 方法？我们将不胜感激您的意见。

UPDATE

@MrOggy85 提供的很棒的 stackoverflow 链接，其中包含更多信息。看使用 $.ajax 发布 JSON 数据时如何提供 AntiForgeryToken？ https://stackoverflow.com/questions/2906754/how-can-i-supply-an-antiforgerytoken-when-posting-json-data-using-ajax。我计划编写自己的 AntiForgery 测试，并在完成后发布。

当你使用助手时@Html.AntiForgeryToken()在视图中，这是实际的 HTML 结果：

<input name="__RequestVerificationToken" type="hidden" 
value="{ long cryptic code }">

该输入字段通常位于您的<form>-元素，这意味着如果您提交该表单，它将附加到请求中。

当此输入字段位于表单之外或者您没有提交表单时，就会出现问题。不要害怕，有一个解决方案。属性[ValidateAntiForgeryToken]告诉服务器查找名为“__RequestVerificationToken”的密钥。让我们为服务器提供它想要的东西！

首先，获取该值！

var antiforgeytoken = $('input[name=__RequestVerificationToken]').val();

其次，将其附加到您的 AJAX 请求中（我使用jQuery）

$.ajax({
  url: 'something/something',
  type: 'POST',
  contentType: 'application/x-www-form-urlencoded; charset=UTF-8', // Default
  data: { 'somekey': 'someval', 
          '__RequestVerificationToken', antiforgeytoken }
});

现在您的服务器很高兴，您也很高兴！

Update:
The 内容类型很重要，因为 MVC Binder 如何验证请求。如果您想使用其他内容类型，请使用此解决方案使用 $.ajax 发布 JSON 数据时如何提供 AntiForgeryToken？ https://stackoverflow.com/questions/2906754/how-can-i-supply-an-antiforgerytoken-when-posting-json-data-using-ajax建议将防伪令牌和后数据分开在两个不同的参数中。