В ASP.NET MVC 1.0 появилась новая функция для обработки проблемы с подделкой подделок:
<%= Html.AntiForgeryToken() %>
[ValidateAntiForgeryToken]
public ViewResult SubmitUpdate()
{
// ... etc
}
Я обнаружил, что токены, сгенерированные в форме html, постоянно меняются каждый раз, когда визуализируется новая форма.
Я хочу знать, как генерируется этот токен? И когда вы используете какое-либо программное обеспечение для сканирования этого сайта, оно сообщит о другой проблеме безопасности: Session fixed. Зачем? Поскольку токен сохраняется, как эта проблема может возникнуть?
И есть еще одна функция, которая является "солью" для antiForgeryToken
, но я действительно знаю, для чего это используется, даже если мы не используем "соль" для генерации токена, токен будет изменять все время, так зачем нужна такая функция?