asp.net-mvc-3 – 没有表单身份验证的AntiForgeryToken

<authentication mode="None"></authentication>

我们永远不会在代码中的任何地方使用/设置HttpContext.User.问题是在某些情况下使用@ Html.AntiForgeryToken()时,用户会收到以下错误消息：

A required anti-forgery token was not supplied or was invalid

我们使用以下代码集中了OnAuthorization中的所有反伪造检查：

if (String.Compare(filterContext.HttpContext.Request.HttpMethod,"post",true) == 0)
{
  var forgery = new ValidateAntiForgeryTokenAttribute();
  forgery.OnAuthorization(filterContext);
}

这就是异常发生的地方.我们有defined a machineKey in web.config来防止在应用程序池回收时生成新密钥.这并没有解决问题.

接下来我们认为客户的浏览器可能没有发送cookie.我们开始记录cookie并注意到在某些情况下会发送RequestVerificationToken_Lw cookie,但在其他情况下则不会 – 尽管其他cookie(如Google Analytics提供的cookie)也会被发送.可能是浏览器中的某些内容正在剥离一些cookie并让其他人进入？

好像是anti-forgery token depends on forms authentication.是这样的吗？任何方式在不以可靠的方式使用表单身份验证时继续使用AntiForgeryToken.请记住,我上面描述的方法适用于超过90％的情况,但我们无法确定为什么它对某些人不起作用.

思考？
谢谢！