Alterações do AntiForgeryToken por solicitação
Estou usando oAntiForgeryToken
método auxiliar. Pelo que eu entendo sobre o AntiForgeryToken é que é base de sessão, para que cada usuário tenha o mesmo token, mas outro usuário terá um token diferente (desde que você use os mesmos sais para todos os formulários). Meu "problema" é queAntiForgeryToken
está gerando tokens diferentes para o mesmo usuário com o mesmo sal. Por exemplo ...
Contoller
public ActionResult Test()
{
return View();
}
Visão
@using (Html.BeginForm())
{
@Html.AntiForgeryToken("Salty!")
}
Pedido de Saída # 1
<input name="__RequestVerificationToken" type="hidden" value="K1sijFuYvyGUJjGg33OnLjJaU3tFpGFDutRt9TOFSkZ6FcrhJMMQPnOqjIHuTwBXs/sPBXEiE+1qyV9l63nnSO161b+OtLbaBoPC7K3/7wxtnuSY+N0o/fqBgVoDyac4dNVp+OvanKBSrHINKfc3WEg9269BHOJNzFowC6Aeac/afAGTGrBypxUHfqrKVowD" />
Pedido de Saída # 2
<input name="__RequestVerificationToken" type="hidden" value="mOpP6LMQXnCmjr5/Wdtnhguh3PyZxWj7GWf8LYzZXPKcJBBT+DbAHvynquSD65O0DBw1RKR7DxCNg372ukftCOWms+o75CraMyFMnvjGk7RU+znIQm05eRQvr5H6d/MDyn+0DWm3jLnMBM9GplsgMRqbdAHzSe69/cS2x9A4X/9jFTZQHUWXXHUr0xewF8Rk" />
As chaves são diferentes para a mesma sessão com o mesmo sal. Eu tenho um mal-entendido fundamental sobre a proteção de CRSF? Ou isso é um novo recurso?