NSwag中实现Swagger UI请求头自动注入XSRF令牌的解决方案
2025-05-31 18:04:26作者:史锋燃Gardner
背景介绍
在ASP.NET Core Web API开发中,跨站请求伪造(CSRF/XSRF)防护是一个重要的安全考虑。许多开发者会使用Antiforgery中间件来生成和验证XSRF令牌。当通过Swagger UI测试这些受保护的API时,如何自动将XSRF令牌注入请求头成为一个常见需求。
传统Swashbuckle解决方案
在使用Swashbuckle(Swashbuckle.AspNetCore)时,开发者通常会利用UseRequestInterceptor功能来实现这一需求。该方法允许在发送请求前执行JavaScript代码,从cookie中提取XSRF令牌并添加到请求头中。典型实现如下:
(request) => {
var cv = document.cookie.split('; ')
.filter(row => row.startsWith('XSRF-TOKEN='))
.map(c => c.split('=')[1])[0];
request.headers['X-XSRF-TOKEN'] = cv;
return request;
}
NSwag中的实现挑战
当从Swashbuckle迁移到NSwag时,开发者发现NSwag没有直接等效的UseRequestInterceptor功能。虽然NSwag提供了IOperationProcessor接口,但它主要用于服务端操作处理,无法直接解决客户端请求拦截的需求。
NSwag解决方案
经过探索,发现可以通过以下方式在NSwag中实现相同的功能:
- 使用CustomHeadContent注入自定义脚本:
在Swagger UI配置中,通过
CustomHeadContent属性注入自定义JavaScript文件:
app.UseSwaggerUi(c => {
c.CustomHeadContent = @"<script src='./Scripts/AntiForgery.js' charset='UTF-8'></script>";
});
- 创建自定义JavaScript文件:
在项目中创建一个JavaScript文件(如AntiForgery.js),重写
window.fetch方法:
// 保存原始的fetch方法
const originalFetch = window.fetch;
// 重写fetch方法
window.fetch = function(input, init) {
// 从cookie中获取XSRF令牌
const xsrfToken = document.cookie.split('; ')
.find(row => row.trim().startsWith('XSRF-TOKEN='))
?.split('=')[1];
// 确保init对象存在
init = init || {};
// 设置请求头
init.headers = init.headers || {};
if (xsrfToken) {
init.headers['X-XSRF-TOKEN'] = xsrfToken;
}
// 调用原始fetch方法
return originalFetch(input, init);
};
实现原理
这种方法利用了JavaScript的原型继承特性,通过以下步骤工作:
- 保存原始的
window.fetch方法引用 - 用自定义实现覆盖
window.fetch - 在自定义实现中:
- 从cookie中提取XSRF令牌
- 确保请求配置对象存在
- 添加XSRF令牌到请求头
- 调用原始fetch方法完成请求
由于Swagger UI内部使用fetch API进行请求,这种覆盖方法能够拦截所有从Swagger UI发出的API请求,并自动添加必要的安全头。
优势与注意事项
这种解决方案有以下优势:
- 无需修改NSwag核心代码
- 保持Swagger UI的标准界面
- 灵活可配置,可以轻松添加其他全局请求处理逻辑
需要注意:
- 确保JavaScript文件路径配置正确
- 考虑浏览器兼容性(现代浏览器都支持fetch API)
- 在生产环境中确保脚本被正确压缩和缓存
结论
通过这种自定义脚本注入的方式,NSwag用户可以实现与Swashbuckle中UseRequestInterceptor类似的功能,为受XSRF保护的API提供便捷的Swagger UI测试支持。这种方法展示了NSwag的灵活性,同时也保持了解决方案的简洁性和可维护性。
登录后查看全文
热门项目推荐
GLM-5智谱 AI 正式发布 GLM-5,旨在应对复杂系统工程和长时域智能体任务。Jinja00- GLM-5.1GLM-5.1是智谱迄今最智能的旗舰模型,也是目前全球最强的开源模型。GLM-5.1大大提高了代码能力,在完成长程任务方面提升尤为显著。和此前分钟级交互的模型不同,它能够在一次任务中独立、持续工作超过8小时,期间自主规划、执行、自我进化,最终交付完整的工程级成果。Jinja00
LongCat-AudioDiT-1BLongCat-AudioDiT 是一款基于扩散模型的文本转语音(TTS)模型,代表了当前该领域的最高水平(SOTA),它直接在波形潜空间中进行操作。00- QQwen3.5-397B-A17BQwen3.5 实现了重大飞跃,整合了多模态学习、架构效率、强化学习规模以及全球可访问性等方面的突破性进展,旨在为开发者和企业赋予前所未有的能力与效率。Jinja00
HY-Embodied-0.5这是一套专为现实世界具身智能打造的基础模型。该系列模型采用创新的混合Transformer(Mixture-of-Transformers, MoT) 架构,通过潜在令牌实现模态特异性计算,显著提升了细粒度感知能力。Jinja00
FreeSql功能强大的对象关系映射(O/RM)组件,支持 .NET Core 2.1+、.NET Framework 4.0+、Xamarin 以及 AOT。C#00
项目优选
收起
kerneldeepin linux kernel
C
27
14
docsOpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
659
4.26 K
RuoYi-Vue3🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
1.54 K
894
pytorchAscend Extension for PyTorch
Python
503
609
kernelopenEuler内核是openEuler操作系统的核心,既是系统性能与稳定性的基石,也是连接处理器、设备与服务的桥梁。
C
391
285
flutter_flutter暂无简介
Dart
905
218
leetcode🔥LeetCode solutions in any programming language | 多种编程语言实现 LeetCode、《剑指 Offer(第 2 版)》、《程序员面试金典(第 6 版)》题解
Java
69
21
MindSpeed-LLM昇腾LLM分布式训练框架
Python
142
168
ops-math本项目是CANN提供的数学类基础计算算子库,实现网络在NPU上加速计算。
C++
939
862
cherry-studio🍒 Cherry Studio 是一款支持多个 LLM 提供商的桌面客户端
TypeScript
1.33 K
108