Мы'переписываем мобильное приложение для iOS в target-c, которое публикует сообщения в нашем серверном приложении ASP.NET MVC. На iPhone стек HTTP (и файлы cookie и т. Д.), Похоже, используются совместно с Safari. Это оставляет нас открытыми для атак XSRF, так что если я неЯ ошибаюсь, что нам нужно защитить POST-файлы токенами от подделки и защитить методы нашего контроллера с помощью .I 'ValidateAntiForgeryTokenAttribute

уточню этот вопрос, сказав, что я ненеправильно понимать механизм, с помощью которого создаются и проверяются токены для защиты от подделки ... в частности, термин «одноразовое значение» Использованный в этом контексте несколько мистический.

Потому что мы'мы не можем предоставить HTML клиенту,т использовать стандарт@Html.AntiForgeryToken()так что вместо этого мы должны использоватьAntiForgery.GetTokens приобретать и распространять токены нашим клиентам. Это имеет загадочный первый параметр:oldCookieToken, На данный момент я просто установил егоnull и все вроде нормально работает. Так может кто-нибудь сказать мне ... какая польза от предоставления старого токена алгоритму генерации токена? Если только один токен будет выпущен для нашего приложения iOS и повторно использован для нескольких постов, будет ли это проблематичным?