我應該在每個POST請求中使用ValidateAntiForgeryToken嗎？

Question

我有一堆頁面HttpPost請求，我從我的同事那裏掃描我的網站與Acunetix（我認爲）的文檔。結果表示HTML form without CSRF protection (9)。建議通過實施令牌使用Same-origin policy。我的問題：

1. 從性能VS安全的角度來說，它是值得的，如果我在每一個POST要求使用Token？我只喜歡在登錄，註冊，交易等敏感POST要求使用Token
2. 這可能是與標題無關的，但是爲什麼pentest軟件，如Acunetix只列出一些我的網頁爲CSRF可能出現的風險時，我有一個POST請求很多頁面，檢測模式如何工作？

任何幫助將不勝感激。

Answer 1

是的，您應該在每個HttpPost中包含ValidateAntiForgeryToken屬性......假設您使用的是最佳實踐，並且HttpPost意味着該請求具有某種副作用。

關於這個問題進行了長時間討論，請參見This discussion over on IT security SE site.

看起來是的Acunetix報告只是這個包含沒有令牌存在的形式，每一頁上。見Their documentation。