AntiForgery.GetTokens: какова цель параметра oldCookieToken?
Мы пишем мобильное приложение для iOS в target-c, которое отправляет сообщения в наше серверное приложение ASP.NET MVC. На iPhone стек HTTP (и файлы cookie и т. Д.), По-видимому, используются совместно с Safari. Это оставляет нас открытыми для атак XSRF, поэтому, если я не ошибаюсь, нам нужно защищать POST с помощью токенов защиты от подделки и защищать методы нашего контроллера с помощьюValidateAntiForgeryTokenAttribute
.
Я уточню этот вопрос, сказав, что я не совсем понимаю механизм, с помощью которого создаются и проверяются токены антиподделения ... в частности, термин «nonce», используемый в этом контексте, несколько мистичен.
Поскольку мы не доставляем клиенту HTML, мы не можем использовать стандарт@Html.AntiForgeryToken()
так что вместо этого мы должны использоватьAntiForgery.GetTokens
приобретать и распространять токены нашим клиентам. Это имеет загадочный первый параметр:oldCookieToken
, На данный момент я просто установил егоnull
и все вроде нормально работает. Так может кто-нибудь сказать мне ... какая польза от предоставления старого токена алгоритму генерации токена? Если только один токен будет выпущен для нашего приложения iOS и повторно использован для нескольких постов, будет ли это проблематичным?