Zmiany AntiForgeryToken na żądanie
UżywamAntiForgeryToken
metoda pomocnicza. Z tego, co rozumiem, w AntiForgeryToken jest to, że jest on bazą sesji, więc każdy użytkownik ma ten sam token, ale inny użytkownik będzie miał inny token (pod warunkiem, że użyjesz tych samych soli dla wszystkich formularzy). Moim „problemem” jest toAntiForgeryToken
generuje różne tokeny dla tego samego użytkownika z tą samą solą. Na przykład ...
Contoller
public ActionResult Test()
{
return View();
}
Widok
@using (Html.BeginForm())
{
@Html.AntiForgeryToken("Salty!")
}
Żądanie wyjścia # 1
<input name="__RequestVerificationToken" type="hidden" value="K1sijFuYvyGUJjGg33OnLjJaU3tFpGFDutRt9TOFSkZ6FcrhJMMQPnOqjIHuTwBXs/sPBXEiE+1qyV9l63nnSO161b+OtLbaBoPC7K3/7wxtnuSY+N0o/fqBgVoDyac4dNVp+OvanKBSrHINKfc3WEg9269BHOJNzFowC6Aeac/afAGTGrBypxUHfqrKVowD" />
Żądanie wyjścia # 2
<input name="__RequestVerificationToken" type="hidden" value="mOpP6LMQXnCmjr5/Wdtnhguh3PyZxWj7GWf8LYzZXPKcJBBT+DbAHvynquSD65O0DBw1RKR7DxCNg372ukftCOWms+o75CraMyFMnvjGk7RU+znIQm05eRQvr5H6d/MDyn+0DWm3jLnMBM9GplsgMRqbdAHzSe69/cS2x9A4X/9jFTZQHUWXXHUr0xewF8Rk" />
Klucze są różne dla tej samej sesji z tą samą solą. Czy mam zasadnicze niezrozumienie ochrony CRSF? Czy jest to nowa funkcja?