В ASP.NET MVC 1.0 появилась новая функция для решения проблемы безопасности подделки межсайтовых запросов:

 
[ValidateAntiForgeryToken]
public ViewResult SubmitUpdate()
{
    // ... etc
}

Я обнаружил, что токен, сгенерированный в HTML-форме, постоянно меняется каждый раз, когда создается новая форма.

Я хочу знать, как генерируется этот токен? А при использовании какого-либо программного обеспечения для сканирования этого сайта он сообщит о другой проблеме безопасности: сессия исправлена. Зачем? Так как токен постоянно меняется, как может возникнуть эта проблема?

И есть еще одна функция, то естьповаренная соль" дляantiForgeryToken, но я действительно знаю, для чего это использовалось, даже черезт использовать "поваренная соль" для генерации токена токен будет постоянно меняться, так почему такая функция?