-4
你能解釋一下這整個AntiForgeryToken的工作原理嗎?因爲我有點誤解。ASP.NET MVC - CSRF - AntiForgeryToken - 它是如何工作的?
我相信當我在表單中添加@ Html.AntiForgeryToken時,我的隱藏輸入和cookie中會生成一個令牌。然後當表單被提交時,屬性ValidateAntyforgeryToken檢查表單輸入中發送的令牌是否與Cookie中的值相同。
那麼爲什麼攻擊者不可能使用相同的值創建假cookie和假輸入?
防僞餅乾服務器使用的密鑰進行加密。假的cookie不會解密,因爲攻擊者不知道解密密鑰是什麼。 –