AntiForgeryToken validation Asp.Net MVC 3

Question

Как AntiForgeryToken становится недействительным? Я установил этот токен, чтобы предотвратить атаки CSRF на мою страницу входа в систему и проверить ее с помощью скрипача. Когда я вызываю метод GET, токен генерирует как скрытое поле __RequestVerificationToken. Когда я отправляю данные входа в систему, должен ли этот токен быть изменен при следующем вызове GET? Я поймаю с помощью скрипача это значение с данными о постах и ​​повторным выпуском/повтором, и это работает. Это хорошее поведение, или этот повтор не должен произойти, потому что значение токена не должно быть действительным после того, как я покину эту форму.

Заранее благодарен.

Answer 1

Токен привязан к сеансовому файлу; когда сеанс уходит, и cookie исчезает, токен будет отображаться недействительным. Причина повторной работы в Fiddler заключается в том, что Fiddler захватывает (и воспроизводит) и cookie сеанса, и токен формы.

Вы можете имитировать окончание сеанса, удалив заголовок запроса Cookie изнутри Fiddler перед повторным воспроизведением. Затем сервер должен отклонить поле __RequestVerificationToken формы.