为什么默认情况下每个表单中不包含 AntiForgeryToken？

Question

我感兴趣为什么不是 AntiForgeryToken 默认情况下包含在每个 ASP.NET MVC 表单中？ 似乎总是包含它的优点超过了可能的缺点。 如果需要，可以禁用此行为，例如 Web 表单 HttpRequestValidationException。

Answer 1

我认为是因为您不想将其放在具有 GET 方法的表单上。

Answer 2

AntiForgeryToken 在 2 月份才从“MVC Futures”转移到“MVC Core”——因此很可能这个时机阻止了它成为内置装置。

另一个可能的原因是，开发MVC框架的团队确实把所有的权力都放在了开发人员的手中。 您可以使用其他东西来代替 AntiForgeryToken，就像您可以选择使用不同的测试框架、数据框架等一样。当您回顾 MS 的历史时，这是一种新方法，他们会迫使您使用他们提供的内容。