MVC Ajax.BeginForm和内容安全策略
问题描述:
为了防止跨边界脚本,我实现了CSP到我的一个应用程序。在这一刻我重新配置所有的html类,以便JavaScript始终来自我的服务器。MVC Ajax.BeginForm和内容安全策略
现在我发现了一个页面,其中包含一个Ajax.BeginForm
,如果我想提交表单并更新视图,则始终会显示错误“Refused to evaluate a string as JavaScript because 'unsafe-eval' is not an allowed source of script in the following Content Security Policy directive: "script-src 'self'".
”。
任何人都可以帮助我,问题在哪里?
这里是我的HTML类(短路):
UserInformation.cshtml:
<div id="OpenAccountInformation">@Html.Action("OpenAccountInformation")</div>
</div>
AccountInformation.cshtml:
@Scripts.Render("~/Scripts/bundles/ManageUsers/AccountInformation")
@model Tumormodelle.Models.ViewModels.AzaraUserModel
<input type="hidden" value="@ViewBag.Editable" id="EditableUserInformation">
<div id="Editable">
@using (Ajax.BeginForm("EditUser", "ManageUsers", new AjaxOptions { InsertionMode = InsertionMode.Replace, UpdateTargetId = "OpenAccountInformation", HttpMethod = "post", }))
{
@Html.AntiForgeryToken()
@Html.HiddenFor(m => m.UserID)
<div>
<div>
@Html.LabelFor(m => m.Username, new { @class = "entryFieldLabel" })
</div>
</div>
<div>
<div>
<button name="button" value="save" class="formbutton" id="saveButton">save</button>
<button name="button" value="cancel" class="formbutton" id="cancelButton">cancel</button>
</div>
}
</div>
<div id="NonEditable">
<div>
<div>
@Html.LabelFor(m => m.Username, new { @class = "entryFieldLabel" })
</div>
</div>
<div>
<div>
<button name="button" value="edit" class="formbutton" id="editButton" type="button">edit</button>
</div>
</div>
</div>
和C#方法:
public ActionResult EditUser(AzaraUserModel AzaraUserModel, string button)
{
if (button == Tumormodelle.Properties.Resources.Save)
{
if (ModelState.IsValid)
{
azaraUserManagement.Update(AzaraUserModel.Username, AzaraUserModel.Title, AzaraUserModel.FirstName, AzaraUserModel.LastName, AzaraUserModel.EMailAddress, null, AzaraUserModel.Phone, AzaraUserModel.UserID, (byte)AzaraUserModel.ShowMail.ID);
ViewBag.Message = Tumormodelle.Properties.Resources.Personal_Data_Changed;
ViewBag.Editable = true;
}
else ViewBag.Editable = false;
BindShowMailList();
return PartialView("AccountInformation", AzaraUserModel);
}
else
{
return RedirectToAction("OpenAccountInformation", "ManageUsers");
}
}
public ActionResult UserInformation()
{
return View("UserInformation");
}
public PartialViewResult OpenAccountInformation()
{
AzaraUserModel AzaraUserModel = new AzaraUserModel(azaraUserManagement.GetSingle(AzaraSession.Current.UserComparison.GetUser().Id));
BindShowMailList();
ViewBag.Editable = true;
return PartialView("AccountInformation", AzaraUserModel);
}
编辑:在Chrome调试器的帮助下,我发现,在表单变为submited的时候,错误就被抛出了。
答
Ajax.BeginForm
在你的页面生成的HTML,您已通过使用script-src 'self'
在内容安全策略不允许将产生嵌入脚本。
如果要使用CSP来防止任何内联注入脚本,则必须改为使用Html.BeginForm
,并添加JavaScript以通过Ajax在外部.js
文件中提交此脚本。
答
尝试将此属性添加到您的控制器后行动
[ValidateInput(false)]
没有帮助:(。检查与Visual Studio的调试器似乎c#类甚至没有击中,因为我点击'保存'按钮。另一方面,'取消'按钮工作正常,但不需要调用服务器。 – Jastol 2014-11-05 10:37:55