Использование AntiForgeryToken требует, чтобы каждый запрос передавал действительный токен, поэтому вредоносные веб-страницы с простыми script публикациями данных в моем веб-приложении не удастся.
Но что, если вредоносный script сначала сделает некоторый простой запрос GET (Ajax), чтобы загрузить страницу, содержащую токен антифригации в скрытом поле ввода, извлекает его и использует его для создания допустимого POST?
Возможно ли это, или я чего-то не хватает?