我在ASP.NET MVC 5應用程序中實現CSRF防僞保護。特別是,我參考了Mike Wasson在ASP.NET website上描述的方法,以保護響應AJAX請求的控制器方法,例如WebAPI控制器。該方法使用AntiForgery.GetTokens方法來生成基於用戶的加密防僞令牌,然後使用AntiForgery.Validate來驗證所提交的令牌屬於當前用戶。ASP.NET MVC CSRF防僞令牌過期了嗎?
我的問題是這樣的:有沒有這些令牌的生存時間?他們是否過期,如果是,他們有多長時間?該文檔在該主題上是靜音的。
我不想在我的系統中允許不過期的令牌。另外,我想在向客戶傳達需要多少時間之前請求一個新的令牌。如有必要,我可以使用FormsAuthentication.Encrypt來實現到期令牌;然而,如果到期已經建成類的方法,那麼我想省下不必要的複雜性。
我想知道這一點。嘗試查看源代碼:https://github.com/ASP-NET-MVC/aspnetwebstack/blob/4e40cdef9c8a8226685f95ef03b746bc8322aa92/src/System.Web.WebPages/Helpers/AntiForgery.cs – nmit026