El uso de AntiForgeryToken requiere que cada solicitud pase un token válido, por lo que las páginas web malintencionadas con un simple script que publica datos en mi aplicación web no tendrán éxito.

Pero, ¿qué sucede si un script malicioso realiza primero una solicitud GET simple?Ajax) para descargar la página que contiene el token antiforgery en un campo de entrada oculto, extraerlo y usarlo para hacer unaENVIAR?

¿Es posible, o me falta algo?