ASP.NET MVC AntiForgeryToken 的验证问题

Question

所以我有一个有趣的问题...我需要让我的 web 应用程序通过 IBM 应用程序扫描设备，然后才能将更改推送到生产环境。我的最新更改包括 ASP.NET MVC 中的 AntiForgeryToken。我测试过的每个浏览器都工作得很好，没有任何问题。但是当设备尝试提交表单时，它会收到验证错误。查看验证令牌，设备正在对帖子上的表单值进行 html 编码，因此字符串不匹配...它们如下所示：

cmiuJRHizXLPvlu9zHKmTwdJiHvq+n87CSJZkixkf/BLHayCPVITJhRCsWWirPWg - 从 cookie 中提取 cmiuJRHizXLPvlu9zHKmTwdJiHvq%2Bn87CSJZkixkf%2FBLHayCPVITJhRCsWWirPWg - 表单值

所以它将 + 转换为 %2B 和 / 转换为 %2F...以前有人见过这个吗？这是客户端浏览器的问题吗？ AntiForgeryToken 是否会生成一个没有特殊字符的字符串，以便我可以通过此扫描获取我的应用程序？谢谢！

Answer 1

查看 MVC 代码，它似乎使用 RNGCryptoServiceProvider 来创建令牌。有趣的是，他们有一种方法可以替换对 cookie 名称不安全的字符（基本上是您在问题中指出的“+”和“/”），但它被标记为私有，我看不到它在哪里使用。

不幸的是，您无法从 AntiForgeryData 类派生自己的类，因为它是密封的。这是非常可悲的，因为这是你的问题的明显解决方案。

您可以基于 MVC 代码创建一个新属性并自行使用安全方法。它将违反 DRY，但自从 Microsoft 密封了该类以来，我没有找到解决方法。