AntiForgeryToken驗證Asp.Net MVC 3

Question

AntiForgeryToken如何失效？我已經設置了這個標記來防止我的登錄頁面發生CSRF攻擊，並用提琴手檢查了它。當我調用GET方法時，令牌生成爲隱藏字段__RequestVerificationToken。當我發佈登錄數據時，應該在下次GET調用時更改此令牌？我通過發佈數據和重新發布/重放請求來捕捉小提琴手這個值，這個工作。這是好行爲，還是不應該發生這種重播，因爲在我離開該表單之後，令牌值不應該有效。

在此先感謝。

Answer 1

令牌綁定到會話cookie;當會話消失並且Cookie消失時，令牌將變爲無效。重播Fiddler的原因是Fiddler捕獲（並重放）會話cookie和表單令牌。

您可以通過在播放前刪除請求的Cookie從Fiddler中的頭部來模擬會話過期。服務器應該拒絕表單的__RequestVerificationToken字段。