Qual é o uso de sal token anti-falsificação?

No ASP.NET MVC 1.0, há um novo recurso para tratar o problema de segurança de falsificação de solicitação entre sites:

 <%= Html.AntiForgeryToken() %>
[ValidateAntiForgeryToken]
public ViewResult SubmitUpdate()
{
    // ... etc
}

Eu encontrei o token gerado no formulário html sempre mudando toda vez que um novo formulário é renderizado.

Eu quero saber como esse token é gerado? E quando usar algum software para escanear este site, ele reportará outro problema de segurança: Sessão consertada. Por quê? Como o token permanece alterado, como esse problema pode ocorrer?

E há outra função, que é "sal" para oantiForgeryToken, mas eu realmente sei o que isso significava, mesmo que não usemos "salt" para gerar o token, o token mudará o tempo todo, então por que ter essa função?

questionAnswers(2)

yourAnswerToTheQuestion