Asp razor 页面 return 当 POST 来自 Iframe 的表单时的 400 代码

Asp razor page return 400 code when POST form from Iframe

我正在尝试 post 来自 Iframe 的表单。但是我收到 400 错误,我不知道为什么。在 iframe 中它显示了 GET 请求,我还在 GET 和 POST 方法中设置了 "X-Frame-Options", "ALLOW-FROM ... headers。

请求如下:

Host: localhost:52136
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:64.0) Gecko/20100101 Firefox/64.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: fr,fr-FR;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://localhost:52136/
Content-Type: application/x-www-form-urlencoded
Content-Length: 796
Connection: keep-alive
Upgrade-Insecure-Requests: 1

响应:

HTTP/1.1 400 Bad Request
Server: Kestrel
X-SourceFiles: =?UTF-8?B?QzpcVXNlcnNcR2VydmlsIERvdWJhbFxzb3VyY2VccmVwb3NcQWNvbXBhIGNoYXJ0XE9ubGluZUFnZW5jeQ==?=
X-Powered-By: ASP.NET
Date: Tue, 18 Dec 2018 20:41:55 GMT
Content-Length: 0

当我在浏览器中直接从同一个 url 提交同一个表单时,我没有收到任何错误。

如何在 iframe 中修复它?

我在 SharePoint Online 网站的 Iframe 中使用 Asp.net 核心应用程序 (Razor Pages) 时遇到了同样的错误。

解决方案:

在 asp.net 核心应用程序的 Startup.cs 文件中添加以下配置。 (您可能需要添加 Microsoft.AspNetCore.Mvc 的引用)

步骤 1

启用 Content Security Policy 以将父级 URL 添加到受信任的 CORS 域。

public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
    app.Use(async (context, next) =>    
    {
        context.Response.Headers.Add("Content-Security-Policy", "frame-ancestors https://mysharepointparentsite.sharepoint.com/");
        await next();
    });
}

步骤 2 启用 Ignore Anti Forgery Token 验证。

public void ConfigureServices(IServiceCollection services)
{
services.AddMvc().AddRazorPagesOptions(_options =>
    {
        _options.Conventions.ConfigureFilter(new IgnoreAntiforgeryTokenAttribute());
    });
}

另外,您需要检查一下您是否没有像下面这样编写防止CSRF的代码:

options.Filters.Add(新的AutoValidateAntiforgeryTokenAttribute());在启动文件()中。

当我尝试使用 JSONP、CORS 和 CSRF 时,这花了 5 个小时才找到。