Много информации о AntiForgeryToken здесь: http://blog.codeville.net/2008/09/01/prevent-cross-site-request-forgery-csrf-using-aspnet-mvcs-antiforgerytoken-helper/
Это предотвратить запрос Cross-Site Подделка (CSRF). Это довольно стандартное поведение, чтобы щелкнуть «Сохранить» в форме и выполнить некоторые действия на сервере, т. Е. Сохранить данные пользователя. Как вы знаете, что пользователь, представляющий форму, является пользователем, которого они утверждают? В большинстве случаев вы используете auth.
Что делать, если злоумышленник заманит вас на сайт, который представляет точно такую же форму в скрытом IFRAME? Ваши файлы cookie отправляются неповрежденными, и сервер не видит запрос как отличный от допустимого запроса. (Поскольку gmail обнаружил: http://www.gnucitizen.org/blog/google-gmail-e-mail-hijack-technique/)
Этот токен анти-подделки предотвращает эту форму атаки, создавая дополнительный токен cookie каждый раз, когда создается страница. Токен как в форме, так и в файле cookie, если форма и cookie не совпадают, мы атакуем CSRF (так как злоумышленник не сможет прочитать токен анти-подделки, используя описанную выше атаку).
И что делает соль делать, из статьи выше:
Соль просто произвольная строка. Другое значение соли означает, что будет создан другой токен анти-подделки. Это означает, что даже если злоумышленнику удается каким-то образом получить действительный токен, они не могут повторно использовать его в других частях приложения, где требуется другое значение соли.
Как генерируется токен? Загрузите source и посмотрите классы AntiForgeryDataSerializer, AntiForgeryData. This has a duplicate.
Спасибо, но в чем же недостаток получения запроса от внешних сайтов? – LifeScript
@LifeScript Thay может создавать любые данные вместо вас. Или измените данные, как пожелаете –
Очень хорошая точка! Спасибо за помощь мне! У вас есть очки! – LifeScript