Jaki jest pożytek z żetonu zabezpieczającego przed fałszerstwem?
W ASP.NET MVC 1.0 dostępna jest nowa funkcja do obsługi problemu zabezpieczeń przed fałszowaniem żądań między witrynami:
<%= Html.AntiForgeryToken() %>
[ValidateAntiForgeryToken]
public ViewResult SubmitUpdate()
{
// ... etc
}
Znalazłem, że token generowany w formie html zmienia się za każdym razem, gdy renderowany jest nowy formularz.
Chcę wiedzieć, jak generowany jest ten token? A gdy użyjesz jakiegoś oprogramowania do skanowania tej strony, zgłosi inny problem bezpieczeństwa: Naprawiono sesję. Czemu? Skoro zmienił się token, jak ten problem może się pojawić?
I jest inna funkcja, czyli „sól” dlaantiForgeryToken
, ale naprawdę wiem, do czego to służy, nawet jeśli nie używamy „soli” do generowania tokena, token będzie się cały czas zmieniał, więc po co taka funkcja?