Schützt AntiForgeryToken in ASP.NET MVC vor allen CSRF-Angriffen?
Für die Verwendung von AntiForgeryToken muss für jede Anforderung ein gültiges Token übergeben werden, sodass böswillige Webseiten mit einfachen Skript-Posting-Daten für meine Webanwendung keinen Erfolg haben.
Aber was ist, wenn ein böswilliges Skript zuerst eine einfache GET - Anfrage stellt (vonAjax), um die Seite mit dem Fälschungsschutz-Token in einem ausgeblendeten Eingabefeld herunterzuladen, zu extrahieren und eine gültige zu erstellenPOST?
Ist es möglich oder fehle ich etwas?