Qual é o uso de sal token anti-falsificação?
No ASP.NET MVC 1.0, há um novo recurso para tratar o problema de segurança de falsificação de solicitação entre sites:
<%= Html.AntiForgeryToken() %>
[ValidateAntiForgeryToken]
public ViewResult SubmitUpdate()
{
// ... etc
}
Eu encontrei o token gerado no formulário html sempre mudando toda vez que um novo formulário é renderizado.
Eu quero saber como esse token é gerado? E quando usar algum software para escanear este site, ele reportará outro problema de segurança: Sessão consertada. Por quê? Como o token permanece alterado, como esse problema pode ocorrer?
E há outra função, que é "sal" para oantiForgeryToken
, mas eu realmente sei o que isso significava, mesmo que não usemos "salt" para gerar o token, o token mudará o tempo todo, então por que ter essa função?