Użycie AntiForgeryToken wymaga, aby każde żądanie przekazało poprawny token, więc złośliwe strony internetowe zawierające proste dane do skryptu do mojej aplikacji internetowej nie powiodą się.

Ale co, jeśli złośliwy skrypt najpierw wykona proste żądanie GET (przezAjax) aby pobrać stronę zawierającą token antiforge w ukrytym polu wejściowym, wyodrębnić ją i użyć do utworzenia ważnegoSŁUPEK?

Czy to możliwe, czy coś mi brakuje?