Я только что реализовал пример использования ASP.NET MVC, который использует атрибут [ValidateAntiForgeryToken] для предотвращения атаки CSRF.CSRF и ValidateAntiForgeryToken в ASP.Net mvc?
Для проверки этого я создаю фрагменты HTML, необходимые для того, чтобы сделать один и тот же запрос на отправку из другого приложения. В принципе, если я добавлю скрытое поле с зашифрованным значением токена в это стороннее приложение, я получаю успешный запрос на отправку. Так что я не нашел смысла в [ValidateAntiForgeryToken], если я могу увидеть скрытое значение, просто проверив html источник, лежащий в основе исходной формы. Может ли кто-нибудь дать мне представление о том, что это такое?
С другой стороны, основываясь на результатах моего предыдущего примера, интересно, мог ли злонамеренный пользователь с действительными учетными данными в приложении получить свой собственный токен и использовать его для создания почтового запроса от имени другого пользователя, и выполнить атаку CSRF,?