какая польза от соли для подделки токенов?
В ASP.NET MVC 1.0 появилась новая функция для обработки безопасности подделки межсайтовых запросов p, roblem:
<%= Html.AntiForgeryToken() %>
[ValidateAntiForgeryToken]
public ViewResult SubmitUpdate()
{
// ... etc
}
Я обнаружил, что токен, сгенерированный в HTML-форме, постоянно меняется каждый раз, когда создается новая форма.
Я хочу знать, как генерируется этот токен? А при использовании какого-либо программного обеспечения для сканирования этого сайта он сообщит о другой проблеме безопасности: сессия исправлена. Почему? Так как токен постоянно меняется, как может возникнуть эта проблема?
И есть еще одна функция, то есть «соль» дляantiForgeryToken
, но я действительно знаю, для чего это используется, даже если мы не используем «соль» для генерации токена, токен будет постоянно меняться, так почему такая функция?