令牌验证方法如何防止 asp.net mvc3 中的 CSRF

Question

我读到了如何使用 <@Html.AntiForgeryToken()>在隐藏字段中生成加密值，该值还将与作为会话 cookie 存储在用户浏览器中的另一个值相匹配。

但我的问题是：- 1.会话cookie中的值也会被加密吗？ 2.如果是，那么操作控制器上的 [ValidateAntiforgeryToken] 如何知道如何解密这两个值并匹配它们？

BR

Answer 1

会话cookie中的值也会被加密

？它代表一个令牌。它与用于隐藏字段的值相同。实际上，Html.AntiForgeryToken() 帮助器做了两件事。它生成令牌并将其呈现在隐藏字段中，并且还设置具有相同值的 cookie。

如果是，那么操作控制器上的 [ValidateAntiforgeryToken] 如何知道如何解密这两个值并匹配它们？

它使用与经典 WebForms 用于加密/解密 ViewState 相同的加密/解密算法。它是一种基于机器密钥的对称加密算法。这就是为什么如果您在网络场中运行，则应确保在所有节点上拥有相同的计算机密钥，因为如果在网络场的一个节点上生成并加密防伪令牌，则可能无法在另一节点上解密如果机器密钥不匹配，则发送 POST 请求时的节点。