Für die Verwendung von AntiForgeryToken muss für jede Anforderung ein gültiges Token übergeben werden, sodass böswillige Webseiten mit einfachen Skript-Posting-Daten für meine Webanwendung keinen Erfolg haben.

Aber was ist, wenn ein böswilliges Skript zuerst eine einfache GET - Anfrage stellt (vonAjax), um die Seite mit dem Fälschungsschutz-Token in einem ausgeblendeten Eingabefeld herunterzuladen, zu extrahieren und eine gültige zu erstellenPOST?

Ist es möglich oder fehle ich etwas?