Мы пишем мобильное приложение для iOS в target-c, которое отправляет сообщения в наше серверное приложение ASP.NET MVC. На iPhone стек HTTP (и файлы cookie и т. Д.), По-видимому, используются совместно с Safari. Это оставляет нас открытыми для атак XSRF, поэтому, если я не ошибаюсь, нам нужно защищать POST с помощью токенов защиты от подделки и защищать методы нашего контроллера с помощьюValidateAntiForgeryTokenAttribute.

Я уточню этот вопрос, сказав, что я не совсем понимаю механизм, с помощью которого создаются и проверяются токены антиподделения ... в частности, термин «nonce», используемый в этом контексте, несколько мистичен.

Поскольку мы не доставляем клиенту HTML, мы не можем использовать стандарт@Html.AntiForgeryToken()так что вместо этого мы должны использоватьAntiForgery.GetTokens приобретать и распространять токены нашим клиентам. Это имеет загадочный первый параметр:oldCookieToken, На данный момент я просто установил егоnull и все вроде нормально работает. Так может кто-нибудь сказать мне ... какая польза от предоставления старого токена алгоритму генерации токена? Если только один токен будет выпущен для нашего приложения iOS и повторно использован для нескольких постов, будет ли это проблематичным?