какая польза от соли для подделки токенов?
В ASP.NET MVC 1.0 появилась новая функция для решения проблемы безопасности подделки межсайтовых запросов:
[ValidateAntiForgeryToken]
public ViewResult SubmitUpdate()
{
// ... etc
}
Я обнаружил, что токен, сгенерированный в HTML-форме, постоянно меняется каждый раз, когда создается новая форма.
Я хочу знать, как генерируется этот токен? А при использовании какого-либо программного обеспечения для сканирования этого сайта он сообщит о другой проблеме безопасности: сессия исправлена. Зачем? Так как токен постоянно меняется, как может возникнуть эта проблема?
И есть еще одна функция, то естьповаренная соль" дляantiForgeryToken
, но я действительно знаю, для чего это использовалось, даже черезт использовать "поваренная соль" для генерации токена токен будет постоянно меняться, так почему такая функция?