NSwag中实现Swagger UI请求头自动注入XSRF令牌的解决方案

2025-05-31 18:57:48作者：史锋燃Gardner

NSwag 是一个强大的 Swagger/OpenAPI 工具链，专为 .NET、ASP.NET Core 和 TypeScript 设计。它能够从现有的 ASP.NET Web API 控制器生成 OpenAPI 规范，并根据这些规范生成客户端代码。NSwag 集成了 Swashbuckle 和 AutoRest 的功能，避免了兼容性问题，并提供了更强大的特性支持，如继承、枚举和引用处理。无论是通过简单的 Windows GUI、命令行工具，还是直接在代码中集成，NSwag 都能帮助你轻松实现 API 文档和客户端代码的自动化生成。

项目地址：https://gitcode.com/gh_mirrors/nsw/NSwag

背景介绍

在ASP.NET Core Web API开发中，跨站请求伪造(CSRF/XSRF)防护是一个重要的安全考虑。许多开发者会使用Antiforgery中间件来生成和验证XSRF令牌。当通过Swagger UI测试这些受保护的API时，如何自动将XSRF令牌注入请求头成为一个常见需求。

传统Swashbuckle解决方案

在使用Swashbuckle(Swashbuckle.AspNetCore)时，开发者通常会利用UseRequestInterceptor功能来实现这一需求。该方法允许在发送请求前执行JavaScript代码，从cookie中提取XSRF令牌并添加到请求头中。典型实现如下：

(request) => { 
    var cv = document.cookie.split('; ')
        .filter(row => row.startsWith('XSRF-TOKEN='))
        .map(c => c.split('=')[1])[0]; 
    request.headers['X-XSRF-TOKEN'] = cv; 
    return request; 
}

NSwag中的实现挑战

当从Swashbuckle迁移到NSwag时，开发者发现NSwag没有直接等效的UseRequestInterceptor功能。虽然NSwag提供了IOperationProcessor接口，但它主要用于服务端操作处理，无法直接解决客户端请求拦截的需求。

NSwag解决方案

经过探索，发现可以通过以下方式在NSwag中实现相同的功能：

使用CustomHeadContent注入自定义脚本：在Swagger UI配置中，通过CustomHeadContent属性注入自定义JavaScript文件：

app.UseSwaggerUi(c => {
    c.CustomHeadContent = @"<script src='./Scripts/AntiForgery.js' charset='UTF-8'></script>";
});

创建自定义JavaScript文件：在项目中创建一个JavaScript文件(如AntiForgery.js)，重写window.fetch方法：

// 保存原始的fetch方法
const originalFetch = window.fetch;

// 重写fetch方法
window.fetch = function(input, init) {
    // 从cookie中获取XSRF令牌
    const xsrfToken = document.cookie.split('; ')
        .find(row => row.trim().startsWith('XSRF-TOKEN='))
        ?.split('=')[1];
    
    // 确保init对象存在
    init = init || {};
    
    // 设置请求头
    init.headers = init.headers || {};
    if (xsrfToken) {
        init.headers['X-XSRF-TOKEN'] = xsrfToken;
    }
    
    // 调用原始fetch方法
    return originalFetch(input, init);
};