MVC 4 հավելվածում HttpAntiForgeryException-ի ճիշտ մշակման եղանակ

Որոշ ժամանակ ուսումնասիրելուց հետո ես կարծում եմ, որ ես գտա ինչ-որ միջոց, թե ինչպես ազատվել այս սխալից օգտվողի համար: Դա կատարյալ չէ, բայց առնվազն չի ցուցադրում սխալի էջը.

Ես ստեղծել եմ զտիչ HandleErrorAttribute-ի հիման վրա.

    [SuppressMessage("Microsoft.Performance", "CA1813:AvoidUnsealedAttributes", 
        Justification = "This attribute is AllowMultiple = true and users might want to override behavior.")]
    [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true, AllowMultiple = false)]
    public class LoginAntiforgeryHandleErrorAttribute : FilterAttribute, IExceptionFilter
    {
        #region Implemented Interfaces

        #region IExceptionFilter

        /// <summary>
        /// </summary>
        /// <param name="filterContext">
        /// The filter context.
        /// </param>
        /// <exception cref="ArgumentNullException">
        /// </exception>
        public virtual void OnException(ExceptionContext filterContext)
        {
            if (filterContext == null)
            {
                throw new ArgumentNullException("filterContext");
            }

            if (filterContext.IsChildAction)
            {
                return;
            }

            // If custom errors are disabled, we need to let the normal ASP.NET exception handler
            // execute so that the user can see useful debugging information.
            if (filterContext.ExceptionHandled || !filterContext.HttpContext.IsCustomErrorEnabled)
            {
                return;
            }

            Exception exception = filterContext.Exception;

            // If this is not an HTTP 500 (for example, if somebody throws an HTTP 404 from an action method),
            // ignore it.
            if (new HttpException(null, exception).GetHttpCode() != 500)
            {
                return;
            }

            // check if antiforgery
            if (!(exception is HttpAntiForgeryException))
            {
                return;
            }

            filterContext.Result = new RedirectToRouteResult(
                new RouteValueDictionary
                {
                    { "action", "Index" }, 
                    { "controller", "Home" }
                });

            filterContext.ExceptionHandled = true;
        }

        #endregion

        #endregion
    }

Այնուհետև ես կիրառեցի այս զտիչը Login POST գործողության համար.

[HttpPost]
[AllowAnonymous]
[ValidateAntiForgeryToken]
[LoginAntiforgeryHandleError]
public ActionResult Login(Login model, string returnUrl)
{

Այս լուծման հիմնական գաղափարը հակակեղծարարության բացառությունը վերահղելն է հիմնական ցուցանիշի գործողությանը: Եթե ​​օգտատերը դեռ չի նույնականացվի, ապա այն կցուցադրի մուտք էջը, եթե օգտատերը արդեն իսկ վավերացված է, այն ցույց կտա ինդեքս էջը:

ԹԱՐՄԱՑՆԵԼ 1 Այս լուծման հետ կապված մեկ հնարավոր խնդիր կա: Եթե ​​ինչ-որ մեկը մուտք է գործում տարբեր հավատարմագրերով, ապա սխալի դեպքում այն ​​պետք է ավելացվի լրացուցիչ մուտքի գործարկման ժամանակ՝ դուրս գալ նախորդ օգտվողից և մուտք գործել նորը: Այս սցենարը չի մշակվում:

Եթե ​​դուք ունեք միայն մեկ կամ մի քանի գործառույթ ազդել, զտիչ ստեղծելը կարող է թեթևակի տեխնիկական գերխնդիր լինել: Ավելի պարզ, բայց ոչ ընդհանուր լուծում է պարզապես հեռացնել [ValidateAntiForgeryToken]-ը կոնկրետ մեթոդի համար և ավելացնել ձեռքով վավերացում՝ ստուգելուց հետո, արդյոք օգտատերը մուտք է գործել:

if (User.Identity.IsAuthenticated)
{
    return RedirectToAction("Index", "Home");
}
System.Web.Helpers.AntiForgery.Validate();
/* proceed with authentication here */

Դուք պետք է կարողանաք կարգավորել բացառությունը՝ ավելացնելով գործողությունների զտիչ՝ ձեր սխալը կարգավորելու համար:

[HandleError(View="AntiForgeryExceptionView", ExceptionType = typeof(HttpAntiForgeryException))]

Դա անելու համար համոզվեք, որ ձեր web.config-ում սովորական սխալները միացված են:

<customErrors mode="On"/>

Կարող եք նաև դիտել այս բլոգ բռնակի սխալի մասին լրացուցիչ տեղեկությունների համար:

Խմբագրել Քանի որ դուք օգտագործում եք MVC4, իսկ բլոգը վերաբերում է MVC3-ին, կարող եք նաև դիտել MSDN գրադարան - HandleErrorAttribute, սակայն տարբերակն իրականում չպետք է տարբերություն լինի:

Հին հարց, բայց ես այսօր հանդիպեցի այս խնդրին, և այն լուծեցի՝ վերահղվելով դեպի դուրս գալու գործողությունը այսպես.

public ActionResult Login(string returnUrl) 
{
    if (WebSecurity.IsAuthenticated)
        return RedirectToAction("LogOff");

    ...
}

Հաղորդագրությունը հայտնվում է մուտք գործելիս՝ նախկինում իսկորոշվելուց հետո:
Վերարտադրման քայլեր.
1.) Բացեք ձեր մուտքի էջը և հաստատեք, որ վավերացված չեք:
2.) Կրկնօրինակեք ներդիրը և Մուտք գործեք երկրորդ ներդիրում:
3.) Վերադարձեք Առաջին ներդիր և փորձեք մուտք գործել (առանց էջը վերաբեռնելու):
4.) Դուք տեսնում եք այս Սխալը; եթե ձեր մուտքի գործողությունը զարդարված է [ValidateAntiForgeryToken] հատկանիշով.

System.Web.Mvc.HttpAntiForgeryException.
Տրամադրված կեղծիքի դեմ նշանը նախատեսված էր օգտատիրոջ համար,
, սակայն ներկայիս օգտվողը YourUserNameOrEmailAddress է:

Այս Օգնականը կատարում է նույն վավերացումը, ինչ [ValidateAntiForgeryToken] հատկանիշը՝

System.Web.Helpers.AntiForgery.Validate()

Հեռացրեք [ValidateAntiForgeryToken]-ը Մուտքի գործողությունից և դրա փոխարեն օգտագործեք այս մեթոդը:

Այժմ, երբ Օգտատերն արդեն իսկ վավերացված է, այն կվերահղվի դեպի Գլխավոր էջ:
Եթե արդեն իսկ վավերացված է, բայց մուտք եք գործում որպես մեկ ուրիշը, ապա դուրս եկեք ընթացիկ օգտատերից և շարունակեք հակակեղծման նշանի վավերացումը նախկինում: Նույնականացում որպես նոր օգտատեր:

if (User.Identity.IsAuthenticated)
{
    if (User.Identity.Name == UserName)//User is already Logged in.
        return RedirectToAction("Index", "Home");
    else//Else: User is Logging In as someone else, so Log Out the Current User.
        ResetLogin();
}
System.Web.Helpers.AntiForgery.Validate();//Replaces [ValidateAntiForgeryToken].
//Add your Login Logic below here.

Այնուհետև ավելացրեք այս ֆունկցիան՝ առանց էջը նորից վերաբեռնելու անհրաժեշտության՝ ապահով կերպով վերականգնելու մուտքը.

private void ResetLogin()
{
    //Add any additional custom Sign-Out/Log-Off Logic here.
    Session.Abandon();
    FormsAuthentication.SignOut();

    //Source: https://stackoverflow.com/questions/4050925/page-user-identity-isauthenticated-still-true-after-formsauthentication-signout
    //The User.Identity is Read-Only, but it reads from HttpContext.User, which we may Reset.  Otherwise it will still show as Authenticated until the next Page Load.
    HttpContext.User = new System.Security.Principal.GenericPrincipal(new System.Security.Principal.GenericIdentity(string.Empty), null);//Do not set Identity to null, because other parts of the code may assume it's blank.
}