Я знаю, что есть много других ответов, но эта статья хороша и лаконична и заставляет вас проверять все свои HttpPosts, а не только некоторые из них:

http://richiban.wordpress.com/2013/02/06/validating-net-mvc-4-anti-forgery-tokens-in-ajax-requests/

Он использует заголовки HTTP вместо попытки изменить коллекцию форм.

Сервер

//make sure to add this to your global action filters
[AttributeUsage(AttributeTargets.Class)]
public class ValidateAntiForgeryTokenOnAllPosts : AuthorizeAttribute
{
    public override void OnAuthorization( AuthorizationContext filterContext )
    {
        var request = filterContext.HttpContext.Request;

        //  Only validate POSTs
        if (request.HttpMethod == WebRequestMethods.Http.Post)
        {
            //  Ajax POSTs and normal form posts have to be treated differently when it comes
            //  to validating the AntiForgeryToken
            if (request.IsAjaxRequest())
            {
                var antiForgeryCookie = request.Cookies[AntiForgeryConfig.CookieName];

                var cookieValue = antiForgeryCookie != null
                    ? antiForgeryCookie.Value 
                    : null;

                AntiForgery.Validate(cookieValue, request.Headers["__RequestVerificationToken"]);
            }
            else
            {
                new ValidateAntiForgeryTokenAttribute()
                    .OnAuthorization(filterContext);
            }
        }
    }
}

Клиент

var token = $('[name=__RequestVerificationToken]').val();
var headers = {};
headers["__RequestVerificationToken"] = token;

$.ajax({
    type: 'POST',
    url: '/Home/Ajax',
    cache: false,
    headers: headers,
    contentType: 'application/json; charset=utf-8',
    data: { title: "This is my title", contents: "These are my contents" },
    success: function () {
        ...
    },
    error: function () {
        ...
    }
});

Я чувствую себя здесь опытным некромантом, но 4 года спустя в MVC5 это все еще проблема.

Чтобы правильно обрабатывать запросы ajax, токен защиты от подделки должен быть передан серверу при вызовах ajax. Интегрировать его в данные и модели ваших публикаций беспорядочно и ненужно. Добавление токена в качестве настраиваемого заголовка является чистым и многоразовым - и вы можете настроить его, чтобы вам не приходилось делать это каждый раз.

Есть исключение - ненавязчивый ajax не требует специальной обработки вызовов ajax. Токен передается как обычно в обычном скрытом поле ввода. Точно так же, как обычный POST.

_Layout.cshtml

В _layout.cshtml у меня есть этот блок JavaScript. Он не записывает токен в DOM, а использует jQuery для извлечения его из скрытого входного литерала, который генерирует помощник MVC. Строка Magic, которая является именем заголовка, определяется как константа в классе атрибута.

<script type="text/javascript">
    $(document).ready(function () {
        var isAbsoluteURI = new RegExp('^(?:[a-z]+:)?//', 'i');
        //http://stackoverflow.com/questions/10687099/how-to-test-if-a-url-string-is-absolute-or-relative

        $.ajaxSetup({
            beforeSend: function (xhr) {
                if (!isAbsoluteURI.test(this.url)) {
                    //only add header to relative URLs
                    xhr.setRequestHeader(
                       '@.ValidateAntiForgeryTokenOnAllPosts.HTTP_HEADER_NAME', 
                       $('@Html.AntiForgeryToken()').val()
                    );
                }
            }
        });
    });
</script>

Обратите внимание на использование одинарных кавычек в функции beforeSend - отображаемый элемент ввода использует двойные кавычки, которые нарушают литерал JavaScript.

Клиентский JavaScript

Когда это выполняется, вызывается функция beforeSend, указанная выше, и AntiForgeryToken автоматически добавляется в заголовки запроса.

$.ajax({
  type: "POST",
  url: "CSRFProtectedMethod",
  dataType: "json",
  contentType: "application/json; charset=utf-8",
  success: function (data) {
    //victory
  }
});

Серверная библиотека

Для обработки нестандартного токена требуется настраиваемый атрибут. Это основано на решении @viggity, но корректно обрабатывает ненавязчивый ajax. Этот код можно спрятать в вашей общей библиотеке

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method)]
public class ValidateAntiForgeryTokenOnAllPosts : AuthorizeAttribute
{
    public const string HTTP_HEADER_NAME = "x-RequestVerificationToken";

    public override void OnAuthorization(AuthorizationContext filterContext)
    {
        var request = filterContext.HttpContext.Request;

        //  Only validate POSTs
        if (request.HttpMethod == WebRequestMethods.Http.Post)
        {

            var headerTokenValue = request.Headers[HTTP_HEADER_NAME];

            // Ajax POSTs using jquery have a header set that defines the token.
            // However using unobtrusive ajax the token is still submitted normally in the form.
            // if the header is present then use it, else fall back to processing the form like normal
            if (headerTokenValue != null)
            {
                var antiForgeryCookie = request.Cookies[AntiForgeryConfig.CookieName];

                var cookieValue = antiForgeryCookie != null
                    ? antiForgeryCookie.Value
                    : null;

                AntiForgery.Validate(cookieValue, headerTokenValue);
            }
            else
            {
                new ValidateAntiForgeryTokenAttribute()
                    .OnAuthorization(filterContext);
            }
        }
    }
}

Сервер / Контроллер

Теперь вы просто применяете атрибут к своему действию. Еще лучше вы можете применить атрибут к своему контроллеру, и все запросы будут проверены.

[HttpPost]
[ValidateAntiForgeryTokenOnAllPosts]
public virtual ActionResult CSRFProtectedMethod()
{
  return Json(true, JsonRequestBehavior.DenyGet);
}

Не используйте Html.AntiForgeryToken. Вместо этого используйте AntiForgery.GetTokens и AntiForgery.Validate из веб-API, как описано в Предотвращение атак с подделкой межсайтовых запросов (CSRF) в приложении ASP.NET MVC .

Я думаю, все, что вам нужно сделать, это убедиться, что ввод «__RequestVerificationToken» включен в запрос POST. Другая половина информации (т. Е. Токен в cookie пользователя) уже отправляется автоматически с запросом AJAX POST.

E.g.,

$("a.markAsDone").click(function (event) {
    event.preventDefault();
    $.ajax({
        type: "post",
        dataType: "html",
        url: $(this).attr("rel"),
        data: { 
            "__RequestVerificationToken":
            $("input[name=__RequestVerificationToken]").val() 
        },
        success: function (response) {
            // ....
        }
    });
});

Я как раз реализовывал эту актуальную проблему в своем текущем проекте. Я сделал это для всех ajax-POST, которым требовался аутентифицированный пользователь.

Во-первых, я решил подключить свои вызовы jquery ajax, чтобы не повторяться слишком часто. этот фрагмент javascript гарантирует, что все вызовы ajax (post) будут добавлять мой токен проверки запроса к запросу. Примечание: имя __RequestVerificationToken используется платформой .Net, поэтому я могу использовать стандартные функции Anti-CSRF, как показано ниже.

$(document).ready(function () {
    var securityToken = $('[name=__RequestVerificationToken]').val();
    $('body').bind('ajaxSend', function (elm, xhr, s) {
        if (s.type == 'POST' && typeof securityToken != 'undefined') {
            if (s.data.length > 0) {
                s.data += "&__RequestVerificationToken=" + encodeURIComponent(securityToken);
            }
            else {
                s.data = "__RequestVerificationToken=" + encodeURIComponent(securityToken);
            }
        }
    });
});

В ваших представлениях, где вам нужно, чтобы токен был доступен для вышеуказанного javascript, просто используйте общий HTML-Helper. Вы можете добавить этот код где угодно. Я поместил его в оператор if (Request.IsAuthenticated):

@Html.AntiForgeryToken() // you can provide a string as salt when needed which needs to match the one on the controller

В вашем контроллере просто используйте стандартный механизм ASP.Net MVC Anti-CSRF. Я так и сделал (хотя на самом деле использовал соль).

[HttpPost]
[Authorize]
[ValidateAntiForgeryToken]
public JsonResult SomeMethod(string param)
{
    // do something
    return Json(true);
}

С помощью Firebug или аналогичного инструмента вы можете легко увидеть, как к вашим запросам POST теперь добавлен параметр __RequestVerificationToken.

Вы также можете сделать это:

$("a.markAsDone").click(function (event) {
    event.preventDefault();

    $.ajax({
        type: "post",
        dataType: "html",
        url: $(this).attr("rel"),
        data: $('<form>@Html.AntiForgeryToken()</form>').serialize(),
        success: function (response) {
        // ....
        }
    });
});

Здесь используется Razor, но если вы используете синтаксис WebForms, вы также можете использовать теги <%= %>

В дополнение к моему комментарию против ответа @JBall, который помог мне на этом пути, это последний ответ, который работает для меня. Я использую MVC и Razor, и я отправляю форму с помощью jQuery AJAX, поэтому я могу обновить частичное представление с некоторыми новыми результатами, и я не хотел выполнять полную обратную передачу (и мерцание страницы).

Добавьте @Html.AntiForgeryToken() внутрь формы как обычно.

Мой код кнопки отправки AJAX (т.е. событие onclick):

//User clicks the SUBMIT button
$("#btnSubmit").click(function (event) {

//prevent this button submitting the form as we will do that via AJAX
event.preventDefault();

//Validate the form first
if (!$('#searchForm').validate().form()) {
    alert("Please correct the errors");
    return false;
}

//Get the entire form's data - including the antiforgerytoken
var allFormData = $("#searchForm").serialize();

// The actual POST can now take place with a validated form
$.ajax({
    type: "POST",
    async: false,
    url: "/Home/SearchAjax",
    data: allFormData,
    dataType: "html",
    success: function (data) {
        $('#gridView').html(data);
        $('#TestGrid').jqGrid('setGridParam', { url: '@Url.Action("GetDetails", "Home", Model)', datatype: "json", page: 1 }).trigger('reloadGrid');
    }
});

Я оставил действие «Успех», поскольку оно показывает, как обновляется частичное представление, содержащее MvcJqGrid, и как оно обновляется (очень мощная сетка jqGrid, и это отличная оболочка MVC для нее).

Мой метод контроллера выглядит так:

    //Ajax SUBMIT method
    [ValidateAntiForgeryToken]
    public ActionResult SearchAjax(EstateOutlet_D model) 
    {
        return View("_Grid", model);
    }

Я должен признать, что не являюсь поклонником POST-публикации всех данных формы в качестве модели, но если вам нужно это сделать, то это один из способов, который работает. MVC просто делает привязку данных слишком простой, поэтому я думаю, вместо того, чтобы подставлять 16 отдельных значений (или слабо типизированную FormCollection), это нормально. Если вы знаете лучше, дайте мне знать, поскольку я хочу создать надежный код MVC C #.

нашел эту очень умную идею от https://gist.github.com/scottrippey/3428114 для каждого $ .ajax вызывает его, изменяет запрос и добавляет токен.

// Setup CSRF safety for AJAX:
$.ajaxPrefilter(function(options, originalOptions, jqXHR) {
    if (options.type.toUpperCase() === "POST") {
        // We need to add the verificationToken to all POSTs
        var token = $("input[name^=__RequestVerificationToken]").first();
        if (!token.length) return;

        var tokenName = token.attr("name");

        // If the data is JSON, then we need to put the token in the QueryString:
        if (options.contentType.indexOf('application/json') === 0) {
            // Add the token to the URL, because we can't add it to the JSON data:
            options.url += ((options.url.indexOf("?") === -1) ? "?" : "&") + token.serialize();
        } else if (typeof options.data === 'string' && options.data.indexOf(tokenName) === -1) {
            // Append to the data string:
            options.data += (options.data ? "&" : "") + token.serialize();
        }
    }
});

1. Определите функцию для получения токена с сервера

@function
{

        public string TokenHeaderValue()
        {
            string cookieToken, formToken;
            AntiForgery.GetTokens(null, out cookieToken, out formToken);
            return cookieToken + ":" + formToken;                
        }
}

2. Получите токен и установите заголовок перед отправкой на сервер

var token = '@TokenHeaderValue()';    

       $http({
           method: "POST",
           url: './MainBackend/MessageDelete',
           data: dataSend,
           headers: {
               'RequestVerificationToken': token
           }
       }).success(function (data) {
           alert(data)
       });

3. Проверка на сервере HttpRequestBase для метода, который вы обрабатываете Post / get

        string cookieToken = "";
        string formToken = "";
        string[] tokens = Request.Headers["RequestVerificationToken"].Split(':');
            if (tokens.Length == 2)
            {
                cookieToken = tokens[0].Trim();
                formToken = tokens[1].Trim();
            }
        AntiForgery.Validate(cookieToken, formToken);

сначала используйте @ Html.AntiForgeryToken () в html

 $.ajax({
        url: "@Url.Action("SomeMethod", "SomeController")",
        type: 'POST',
        data: JSON.stringify(jsonObject),
        contentType: 'application/json; charset=utf-8',
        dataType: 'json',
        async: false,
        beforeSend: function (request) {
            request.setRequestHeader("RequestVerificationToken", $("[name='__RequestVerificationToken']").val());
        },
        success: function (msg) {
            alert(msg);
        }

Я знаю, что этот вопрос был опубликован некоторое время назад, но я нашел действительно полезный ресурс, в котором обсуждается использование AntiForgeryToken и упрощается его использование. Он также предоставляет плагин jquery для простого включения токена защиты от подделки в вызовы AJAX:

Рецепты запросов защиты от подделки для ASP.NET MVC и AJAX

Я мало что делаю, но, возможно, кому-то это пригодится.

Вот самый простой способ, который я видел. Примечание. Убедитесь, что в вашем представлении есть «@ Html.AntiForgeryToken ()».

  $("a.markAsDone").click(function (event) {
        event.preventDefault();
        var sToken = document.getElementsByName("__RequestVerificationToken")[0].value;
        $.ajax({
            url: $(this).attr("rel"),
            type: "POST",
            contentType: "application/x-www-form-urlencoded",
            data: { '__RequestVerificationToken': sToken, 'id': parseInt($(this).attr("title")) }
        })
        .done(function (data) {
            //Process MVC Data here
        })
        .fail(function (jqXHR, textStatus, errorThrown) {
            //Process Failure here
        });
    });

Небольшое улучшение решения 360Airwalk. Это включает токен AntiForgeryToken в функцию javascript, поэтому @ Html.AntiForgeryToken () больше не нужно включать в каждое представление.

$(document).ready(function () {
    var securityToken = $('@Html.AntiForgeryToken()').attr('value');
    $('body').bind('ajaxSend', function (elm, xhr, s) {
        if (s.type == 'POST' && typeof securityToken != 'undefined') {
            if (s.data.length > 0) {
                s.data += "&__RequestVerificationToken=" + encodeURIComponent(securityToken);
            }
            else {
                s.data = "__RequestVerificationToken=" + encodeURIComponent(securityToken);
            }
        }
    });
});

Я использую сообщение ajax для запуска метода удаления (происходит из временной шкалы visjs, но это не актуально). Вот что я сестренка:

Это мой Index.cshtml

@Scripts.Render("~/bundles/schedule")
@Styles.Render("~/bundles/visjs")
@Html.AntiForgeryToken()

<!-- div to attach schedule to -->
<div id='schedule'></div>

<!-- div to attach popups to -->
<div id='dialog-popup'></div>

Все, что я добавил здесь, это @Html.AntiForgeryToken(), чтобы токен появился на странице

Затем в моем сообщении о ajax я использовал:

$.ajax(
    {
        type: 'POST',
        url: '/ScheduleWorks/Delete/' + item.id,
        data: {
            '__RequestVerificationToken': 
            $("input[name='__RequestVerificationToken']").val()
              }
     }
);

Что добавляет значение токена, соскобленное со страницы, в опубликованные поля.

Перед этим я попытался поместить значение в заголовки, но получил ту же ошибку.

Не стесняйтесь публиковать улучшения. Это определенно кажется простым подходом, который я могу понять.

Хорошо, много сообщений здесь, ни один из них не помог мне, дни и дни google, и все равно я дошел до того, что написал все приложение с нуля, а затем я заметил этот маленький самородок в моем Web.confg

 <httpCookies requireSSL="false" domain="*.localLookup.net"/>

Теперь я не знаю, почему я добавил его, но с тех пор я заметил, что он игнорируется в режиме отладки, а не в производственном режиме (IE установлен в IIS где-то)

Для меня решение было одним из двух вариантов, так как я не помню, почему я его добавил, я не могу быть уверен, что другие вещи не зависят от него, а во-вторых, имя домена должно быть полностью в нижнем регистре, а TLD не так, как ive done в * .localLookup.net

Может, это помогает, а может и нет. Надеюсь, это кому-то поможет

Решение, которое я нашел, не для ASPX, а для Razor, но вполне совместимая проблема.

Я решил это, добавив в запрос AntiForgery. Помощник HTML не создает идентификатор HTML с вызовом

@Html.AntiForgeryToken()

Чтобы добавить токен в постзапрос, я просто добавил идентификатор AntiForgery в скрытое поле с помощью jquery:

$("input[name*='__RequestVerificationToken']").attr('id', '__AjaxAntiForgeryForm');

Это заставило контроллер принять запрос с атрибутом [ValidateAntiForgeryToken].

AntiforgeryToken по-прежнему является проблемой, ни один из приведенных выше примеров не работал для меня дословно. Слишком много там. Я объединил их все. Нужен @ Html.AntiforgeryToken в форме, которая висит вокруг iirc

Решено так:

function Forgizzle(eggs) {
    eggs.__RequestVerificationToken =  $($("input[name=__RequestVerificationToken]")[0]).val();
    return eggs;
}

$.ajax({
            url: url,
            type: 'post',
            data: Forgizzle({ id: id, sweets: milkway }),
});

Если сомневаетесь, добавьте еще $ знаков