您的位置: 首页  >  技术问答  >  MVC Ajax.BeginForm和内容安全策略

MVC Ajax.BeginForm和内容安全策略

分类: 技术问答 2022-03-29 15:34:46
问题描述:

为了防止跨边界脚本,我实现了CSP到我的一个应用程序。在这一刻我重新配置所有的html类,以便JavaScript始终来自我的服务器。MVC Ajax.BeginForm和内容安全策略

现在我发现了一个页面,其中包含一个Ajax.BeginForm,如果我想提交表单并更新视图,则始终会显示错误“Refused to evaluate a string as JavaScript because 'unsafe-eval' is not an allowed source of script in the following Content Security Policy directive: "script-src 'self'".”。

任何人都可以帮助我,问题在哪里?

这里是我的HTML类(短路):

UserInformation.cshtml:

<div id="OpenAccountInformation">@Html.Action("OpenAccountInformation")</div> 
</div>

AccountInformation.cshtml:

@Scripts.Render("~/Scripts/bundles/ManageUsers/AccountInformation") 
@model Tumormodelle.Models.ViewModels.AzaraUserModel 

<input type="hidden" value="@ViewBag.Editable" id="EditableUserInformation"> 
<div id="Editable"> 
    @using (Ajax.BeginForm("EditUser", "ManageUsers", new AjaxOptions { InsertionMode = InsertionMode.Replace, UpdateTargetId = "OpenAccountInformation", HttpMethod = "post", })) 
    { 
     @Html.AntiForgeryToken() 
     @Html.HiddenFor(m => m.UserID) 
     <div> 
      <div> 
       @Html.LabelFor(m => m.Username, new { @class = "entryFieldLabel" }) 
      </div> 
     </div> 
      <div> 
      <div> 
       <button name="button" value="save" class="formbutton" id="saveButton">save</button> 
       <button name="button" value="cancel" class="formbutton" id="cancelButton">cancel</button> 
      </div> 
        } 
</div> 

<div id="NonEditable"> 

    <div> 
     <div> 
      @Html.LabelFor(m => m.Username, new { @class = "entryFieldLabel" }) 
     </div> 
       </div> 
      <div> 
     <div> 
      <button name="button" value="edit" class="formbutton" id="editButton" type="button">edit</button> 
     </div> 
       </div> 
</div>

和C#方法:

public ActionResult EditUser(AzaraUserModel AzaraUserModel, string button) 
{ 
    if (button == Tumormodelle.Properties.Resources.Save) 
    { 
     if (ModelState.IsValid) 
     { 
      azaraUserManagement.Update(AzaraUserModel.Username, AzaraUserModel.Title, AzaraUserModel.FirstName, AzaraUserModel.LastName, AzaraUserModel.EMailAddress, null, AzaraUserModel.Phone, AzaraUserModel.UserID, (byte)AzaraUserModel.ShowMail.ID); 
      ViewBag.Message = Tumormodelle.Properties.Resources.Personal_Data_Changed; 
      ViewBag.Editable = true; 
     } 
     else ViewBag.Editable = false; 
     BindShowMailList(); 
     return PartialView("AccountInformation", AzaraUserModel); 
    } 
    else 
    { 
     return RedirectToAction("OpenAccountInformation", "ManageUsers"); 
    } 
} 

public ActionResult UserInformation() 
{ 
    return View("UserInformation"); 
} 

public PartialViewResult OpenAccountInformation() 
{ 
    AzaraUserModel AzaraUserModel = new AzaraUserModel(azaraUserManagement.GetSingle(AzaraSession.Current.UserComparison.GetUser().Id)); 
    BindShowMailList(); 
    ViewBag.Editable = true; 
    return PartialView("AccountInformation", AzaraUserModel); 
}

编辑:在Chrome调试器的帮助下,我发现,在表单变为submited的时候,错误就被抛出了。

Ajax.BeginForm在你的页面生成的HTML,您已通过使用script-src 'self'在内容安全策略不允许将产生嵌入脚本。

如果要使用CSP来防止任何内联注入脚本,则必须改为使用Html.BeginForm,并添加JavaScript以通过Ajax在外部.js文件中提交此脚本。

尝试将此属性添加到您的控制器后行动

[ValidateInput(false)]
+0

没有帮助:(。检查与Visual Studio的调试器似乎c#类甚至没有击中,因为我点击'保存'按钮。另一方面,'取消'按钮工作正常,但不需要调用服务器。 – Jastol 2014-11-05 10:37:55

相关推荐