AntiForgeryToken-Änderungen auf Anfrage
Ich benutze dieAntiForgeryToken
Hilfsmethode. Was ich über das AntiForgeryToken verstehe, ist, dass es eine Sitzungsbasis ist, so dass jeder Benutzer das gleiche Token hat, aber ein anderer Benutzer ein anderes Token hat (vorausgesetzt, Sie verwenden für alle Formulare das gleiche Salz). Mein "Problem" ist dasAntiForgeryToken
generiert unterschiedliche Token für denselben Benutzer mit demselben Salt. Zum Beispiel ...
Steuergerät
public ActionResult Test()
{
return View();
}
Aussicht
@using (Html.BeginForm())
{
@Html.AntiForgeryToken("Salty!")
}
Ausgabeanforderung # 1
<input name="__RequestVerificationToken" type="hidden" value="K1sijFuYvyGUJjGg33OnLjJaU3tFpGFDutRt9TOFSkZ6FcrhJMMQPnOqjIHuTwBXs/sPBXEiE+1qyV9l63nnSO161b+OtLbaBoPC7K3/7wxtnuSY+N0o/fqBgVoDyac4dNVp+OvanKBSrHINKfc3WEg9269BHOJNzFowC6Aeac/afAGTGrBypxUHfqrKVowD" />
Ausgabeanforderung Nr. 2
<input name="__RequestVerificationToken" type="hidden" value="mOpP6LMQXnCmjr5/Wdtnhguh3PyZxWj7GWf8LYzZXPKcJBBT+DbAHvynquSD65O0DBw1RKR7DxCNg372ukftCOWms+o75CraMyFMnvjGk7RU+znIQm05eRQvr5H6d/MDyn+0DWm3jLnMBM9GplsgMRqbdAHzSe69/cS2x9A4X/9jFTZQHUWXXHUr0xewF8Rk" />
Die Tasten sind für dieselbe Sitzung mit demselben Salt unterschiedlich. Habe ich ein grundlegendes Missverständnis des CRSF-Schutzes? Oder ist das eine neue Funktion?