使用WebForm中的MVC HtmlHelper

Question

我正在向混合WebForms/MVC网站添加一些UI功能。在这种情况下，我将一些AJAX UI功能添加到WebForms页面（通过jQuery），并且数据来自MVC JsonResult。一切工作都是100％，但有一个例外：

我想实施AntiForgeryToken的XSRF保护。我已将它与纯粹的MVC应用程序中的ValidateAntiForgeryToken属性结合使用，但想知道如何在WebForms中实现Html.AntiForgeryToken（）方法。 Here's an example using a UrlHelper。

我有一些麻烦得到ViewContext/RequestContext“嘲笑”正确。我应该如何在WebForms页面中使用HtmlHelpers？

编辑： 我期待从我的WebForms页面检索AntiForgeryToken，而不是从MVC JsonResult。

Answer 1

的关键方法是在MVC源代码：GetAntiForgeryTokenAndSetCookie

这将创建一个名为AntiForgeryData内部密封类的一个实例。

将实例序列化为cookie“__RequestVerificationToken_”+应用程序路径的基础64编码版本。

AntiForgeryData的同一个实例被序列化为一个隐藏的输入。

的AntiForgeryData的独特之处是使用了一个RNGCryptoServiceProvider.GetBytes()

所有这一切都可以在一个页面的WebForms是伪造的，唯一的凌乱位是隐藏密封类的序列化。不幸的是，关键方法（GetAntiForgeryTokenAndSetCookie）依赖于ViewContext.HttpContext.Request来获取cookie，而WebForm需要使用HttpContext.Current.Request来代替。

---

更新

没有太多的测试和大量的代码，但我想我已经有一点思考破解这个。当我使用反射我已经离开上述注释掉相当于行：

using System; 
using System.Reflection; 
using System.Web; 
using System.Web.Mvc; 

/// <summary>Utility to provide MVC anti forgery tokens in WebForms pages</summary> 
public class WebFormAntiForgery 
{ 
    /// <summary>Create an anti forgery token in a WebForms page</summary> 
    /// <returns>The HTML input and sets the cookie</returns> 
    public static string AntiForgeryToken() 
    { 
     string formValue = GetAntiForgeryTokenAndSetCookie(); 

     // string fieldName = AntiForgeryData.GetAntiForgeryTokenName(null); 
     var mvcAssembly = typeof(HtmlHelper).Assembly; 
     var afdType = mvcAssembly.GetType("System.Web.Mvc.AntiForgeryData"); 
     string fieldName = Convert.ToString(afdType.InvokeMember(
      "GetAntiForgeryTokenName", 
      BindingFlags.NonPublic | BindingFlags.Static | BindingFlags.InvokeMethod, 
      null, 
      null, 
      new object[] { null })); 

     TagBuilder builder = new TagBuilder("input"); 
     builder.Attributes["type"] = "hidden"; 
     builder.Attributes["name"] = fieldName; 
     builder.Attributes["value"] = formValue; 
     return builder.ToString(TagRenderMode.SelfClosing); 
    } 

    static string GetAntiForgeryTokenAndSetCookie() 
    { 
     var mvcAssembly = typeof(HtmlHelper).Assembly; 
     var afdType = mvcAssembly.GetType("System.Web.Mvc.AntiForgeryData"); 

     // new AntiForgeryDataSerializer(); 
     var serializerType = mvcAssembly.GetType("System.Web.Mvc.AntiForgeryDataSerializer"); 
     var serializerCtor = serializerType.GetConstructor(new Type[0]); 
     object serializer = serializerCtor.Invoke(new object[0]); 

     // string cookieName = AntiForgeryData.GetAntiForgeryTokenName(HttpContext.Current.Request.ApplicationPath); 
     string cookieName = Convert.ToString(afdType.InvokeMember(
      "GetAntiForgeryTokenName", 
      BindingFlags.NonPublic | BindingFlags.Static | BindingFlags.InvokeMethod, 
      null, 
      null, 
      new object[] { HttpContext.Current.Request.ApplicationPath })); 

     // AntiForgeryData cookieToken; 
     object cookieToken; 
     HttpCookie cookie = HttpContext.Current.Request.Cookies[cookieName]; 
     if (cookie != null) 
     { 
      // cookieToken = Serializer.Deserialize(cookie.Value); 
      cookieToken = serializerType.InvokeMember("Deserialize", BindingFlags.InvokeMethod, null, serializer, new object[] { cookie.Value }); 
     } 
     else 
     { 
      // cookieToken = AntiForgeryData.NewToken(); 
      cookieToken = afdType.InvokeMember(
       "NewToken", 
       BindingFlags.Public | BindingFlags.Static | BindingFlags.InvokeMethod, 
       null, 
       null, 
       new object[0]); 

      // string cookieValue = Serializer.Serialize(cookieToken); 
      string cookieValue = Convert.ToString(serializerType.InvokeMember("Serialize", BindingFlags.InvokeMethod, null, serializer, new object[] { cookieToken })); 

      var newCookie = new HttpCookie(cookieName, cookieValue) { HttpOnly = true }; 

      HttpContext.Current.Response.Cookies.Set(newCookie); 
     } 

     // AntiForgeryData formToken = new AntiForgeryData(cookieToken) 
     // { 
     //  CreationDate = DateTime.Now, 
     //  Salt = salt 
     // }; 
     var ctor = afdType.GetConstructor(new Type[] { afdType }); 
     object formToken = ctor.Invoke(new object[] { cookieToken }); 

     afdType.InvokeMember("CreationDate", BindingFlags.SetProperty, null, formToken, new object[] { DateTime.Now }); 
     afdType.InvokeMember("Salt", BindingFlags.SetProperty, null, formToken, new object[] { null }); 

     // string formValue = Serializer.Serialize(formToken); 
     string formValue = Convert.ToString(serializerType.InvokeMember("Serialize", BindingFlags.InvokeMethod, null, serializer, new object[] { formToken })); 
     return formValue; 
    } 
} 

用法，然后类似MVC：

WebFormAntiForgery.AntiForgeryToken() 

它创建相同的Cookie和相同的HTML作为MVC方法。

我并没有打扰盐和域的方法，但他们会很容易添加。

Answer 2

您可以创建在您的控制器一个新的HtmlHelper，然后从那里拉抗xrsf：

var htmlHelper = new HtmlHelper(
    new ViewContext(
     ControllerContext, 
     new WebFormView("omg"), 
     new ViewDataDictionary(), 
     new TempDataDictionary()), 
     new ViewPage()); 

var xsrf = htmlHeler.AntiForgeryToken; 

myObject.XsrfToken = xsrf; 

return JsonResult(myObject); 

Answer 3

默认情况下，ASP.NET Web窗体已经包括的措施来验证事件和视图状态。 Phil Haack在链接的文章中谈到了一点。 XSRF减缓战略谈到here (Scott Hanselman)和here (Dino Esposito)

Answer 4

我知道这是一个古老的问题，但今天我遇到了这个问题，并认为我会分享。我正在使用MVC4，并且在两个MVC（通过RenderPartial）和WebForms之间共享一个webform控件（.ascx）。在那个控制中，我需要一个防伪标记。幸运的是，有一个助手，现在你可以在你的web表单现在用的这如此简单：

<%= AntiForgery.GetHtml() %> 

，这会使得你的防伪标记，就像您在MVC获得。

Here's the MS link to it。