AntiForgeryToken是否应该应用于ASP.NET MVC应用程序中的每个后期操作?我无法想到你不希望想要在每个帖子中包含这个内容的任何理由,但似乎没有人真正建议在你的所有动作中使用它。
我很想听听你的想法。
答案 0 :(得分:2)
我总是在POST / DELETE / PUT操作上使用它。我希望尽可能确保请求来自我的服务器在我更改数据时发送到浏览器的页面。
答案 1 :(得分:1)
不向表单添加防伪令牌需要完全确定不存在跨站点伪造(或其他)攻击的可能性。对于那种情况,将来不会发现这样的附件。
另一方面,拥有令牌会有明显的缺点吗?
似乎没有做到这一点总是会更多(精神)努力找到那些“没有风险”的案件。