AntiForgeryToken 和 ValidateAntiForgeryToken 的意外行为

Question

我已经开始在一些表单中使用 AntiForgeryToken 来防止跨站点请求伪造。然而，我遇到了一些奇怪的行为，只是想澄清这是一个错误还是只是我做错了什么。我在表单中使用 Html.AntiForgeryToken() 调用。然后，我在表单发布到的操作方法中使用 [ValidateAntiForgeryToken] 属性。我现在没有使用盐。

我的理解是 Html.AntiForgeryToken() 生成一个名为 __RequestVerificationToken 的隐藏输入和一个名为 __RequestVerificationToken_Lw__ 的 cookie，它们都应该包含相同的值。

然而，我遇到的行为是：

1. 无论您使用多少次，cookie 始终具有相同的值 获取页面
2. 每次获取页面时，隐藏输入都有不同的值
3. ValidateAntiForgeryToken 每次都会进行验证，即使是从 CSRF 场景中的不同站点。
4. 如果我更改国外站点中隐藏输入的值， 令牌不验证（预期的行为，但为什么它验证 当隐藏的输入/cookie值不同时？）

有人有什么想法吗？

Answer 1

对于第三点，您是否在 CSRF 场景中包含隐藏字段？

AntiForgeryToken 的安全性在于隐藏输入仅存在于您的域所服务的页面中，并且不能被其他域复制或捕获。如果您模拟了一个通过隐藏输入的测试，那么这不是一个有效的测试。

我建议您阅读 Phil Haack 的这篇文章：Anatomy of a跨站请求伪造攻击