W ASP.NET MVC 1.0 dostępna jest nowa funkcja do obsługi problemu zabezpieczeń przed fałszowaniem żądań między witrynami:

 <%= Html.AntiForgeryToken() %>
[ValidateAntiForgeryToken]
public ViewResult SubmitUpdate()
{
    // ... etc
}

Znalazłem, że token generowany w formie html zmienia się za każdym razem, gdy renderowany jest nowy formularz.

Chcę wiedzieć, jak generowany jest ten token? A gdy użyjesz jakiegoś oprogramowania do skanowania tej strony, zgłosi inny problem bezpieczeństwa: Naprawiono sesję. Czemu? Skoro zmienił się token, jak ten problem może się pojawić?

I jest inna funkcja, czyli „sól” dlaantiForgeryToken, ale naprawdę wiem, do czego to służy, nawet jeśli nie używamy „soli” do generowania tokena, token będzie się cały czas zmieniał, więc po co taka funkcja?