Estamos escribiendo una aplicación móvil iOS en object-c que hace publicaciones en nuestra aplicación de servidor MVC ASP.NET. En el iPhone, la pila HTTP (y las cookies, etc.) parecen compartirse con Safari. Esto nos deja abiertos a los ataques XSRF, por lo que, a menos que esté equivocado, debemos proteger los POST con tokens anti-falsificación y proteger nuestros métodos de control conValidateAntiForgeryTokenAttribute.

Calificaré esta pregunta diciendo que no entiendo correctamente el mecanismo por el cual se generan y verifican las fichas de antiforgería ... en particular, el término 'nonce' usado en este contexto es algo místico.

Debido a que no estamos entregando HTML al cliente, no podemos usar el estándar@Html.AntiForgeryToken(), así que en vez tenemos que usarAntiForgery.GetTokens Adquirir y distribuir los tokens a nuestros clientes. Esto tiene un primer parámetro misterioso:oldCookieToken. En este momento, sólo lo puse anull y todo parece funcionar bien. Entonces, ¿alguien puede decirme ... de qué sirve suministrar el token antiguo al algoritmo de generación de token? Si solo se emite un token para nuestra aplicación de iOS y se reutiliza para varias publicaciones, ¿será esto problemático?