在未经身份验证的场景中使用 MVC3 AntiForgeryToken？

Question

通过几个线程我可以看到在用户未经身份验证的站点区域中使用 MVC 防伪令牌是多余的。

我有一个应用程序，它从 site1、site2、site3 等向 mysite.com 发布一些信息。每个站点都有一个唯一标识符，该标识符通过异步 Javascript POST 在 POST 请求中发送。在 site1-3 上执行的 Javascript 在 mysite.com 上生成，然后返回到填充了一些 Javascript 变量的站点。

因此生命周期如下：

1. site1 上的页面有一个对 mysite.com 的 Javascript 引用。
2. 该链接引用是生成 Javascript 以返回 site1 的控制器路由。
3. 返回的 JS 末尾包含一个 POST 请求，该请求返回到 mysite.com，其中包含 URL、浏览器等以及 site1 页面访问者的详细信息。

我可以在 JS POST 请求的接受控制器中很好地读取 POST 参数，但是，我想知道是否有必要将防伪令牌添加到参数列表中。

如果是这样，我必须在初始请求中生成它，并将其作为返回到 site1 的 JS 中的 JS 变量传递回来，然后在第二个请求中将其与表单 POST 一起传递回来。

由于只有在找到有效帐户的情况下才会在 mysite.com 上进行任何处理，因此这样做有什么意义吗？

如果是这样，我将如何在控制器级别生成防伪令牌？

Answer 1

我想说这取决于所发布数据的敏感性。如果其他用户可以通过伪造请求并提交请求来造成伤害（或烦恼），那么我会说这是适当的。听起来您只是在收集一些使用信息，因此情况不可能如此。

一次性随机数可能是更好的解决方案。这将使伪造请求变得困难，并防止错误的多次提交，例如用户使用缓存副本的情况。在 mysite.com 上生成一个随机值（GUID 可能有效），将其插入数据库并将其标记为未使用。通过 POST 将其发回。检查是否已被使用。如果未使用，则将其标记为已使用并执行日志记录操作。如果已使用，则将请求作为重复提交丢弃。

请注意，为此您不需要 POST，带有 URL 参数的简单 GET 就足够了，因为随机数将防止它被意外重复。