ASP.NET CoreでJavaScriptのfetch関数を使う

ASP.NET Coreで何も考えずにJavaScriptのfetch関数を使うとCSRF対策機能が働いて400エラー（Bad Request）になります。

目次

対策編集

service編集

サービスの設定は.NET 8系のテンプレートだとProgram.csにある。

builder.Services.AddAntiforgery(x => x.HeaderName = "X-CSRF-TOKEN");

cshtml編集

cshtmlの上部（@pageや@modelなどの直下あたり）に以下を追加する。サーバーサイドでCSRFトークンを生成する。

@inject Microsoft.AspNetCore.Antiforgery.IAntiforgery Antiforgery
@{
    var requestToken = Antiforgery.GetAndStoreTokens(this.HttpContext).RequestToken;
}

javascript編集

fetch関数のheadersにCSRFトークンを展開する。

var data = { "head":"hage" }
fetch('/human', {
    method: 'POST',
    headers: {
        "X-CSRF-TOKEN": "@requestToken",
        "Content-Type": "application/json",
        "Accept": "application/json"
    },
    body: JSON.stringify(data)
});

おわり

関連項目編集

ASP.NET CoreのPageModelのOnPost関数の引数でJSONを受け取る

「https://monobook.org/w/index.php?title=ASP.NET_CoreでJavaScriptのfetch関数を使う&oldid=20279」から取得