AntiForgeryToken如何失效?我已设置此令牌以防止我的登录页面上的CSRF攻击,并使用fiddler进行了检查。当我调用GET方法时,令牌会生成隐藏字段 __ RequestVerificationToken 。当我发布登录数据时,是否应在下一次GET调用时更改此令牌?我通过帖子数据和重新发布/重播请求来获取fiddler这个值,这很有效。这是不好的行为,或者这种重播不应该发生,因为在我离开该表格后,令牌值不应该有效。
提前致谢。
答案 0 :(得分:2)
令牌绑定到会话cookie;当会话消失并且cookie消失时,令牌将变为无效。在Fiddler重播工作的原因是Fiddler正在捕获(并重放)会话cookie和表单令牌。
您可以通过在重放之前从Fiddler中删除请求的 Cookie 标头来模拟会话过期。然后,服务器应该拒绝表单的__RequestVerificationToken字段。