В ASP.NET MVC 1.0 появилась новая функция для обработки безопасности подделки межсайтовых запросов p, roblem:

 <%= Html.AntiForgeryToken() %>
[ValidateAntiForgeryToken]
public ViewResult SubmitUpdate()
{
    // ... etc
}

Я обнаружил, что токен, сгенерированный в HTML-форме, постоянно меняется каждый раз, когда создается новая форма.

Я хочу знать, как генерируется этот токен? А при использовании какого-либо программного обеспечения для сканирования этого сайта он сообщит о другой проблеме безопасности: сессия исправлена. Почему? Так как токен постоянно меняется, как может возникнуть эта проблема?

И есть еще одна функция, то есть «соль» дляantiForgeryToken, но я действительно знаю, для чего это используется, даже если мы не используем «соль» для генерации токена, токен будет постоянно меняться, так почему такая функция?