我无法理解为什么在验证过程中,MVC不仅要考虑表单字段,还要考虑具有相同信息的cookie。通过不同的SO答案和博客查看,但无法找到答案。
例如,受害者可以使用他的身份验证cookie在http://bank.com上转账。
然后攻击者使用这样的图像<img src="http://bank.example.com/withdraw?account=Alice&amount=1000000&for=Mallory">向受害者发送电子邮件。为什么不通过仅将表单字段"__RequestVerificationToken"与一些哈希进行比较来防止恶意请求呢?使用cookie在我看来有点额外的东西。你能提供一些“打破&#34;我的预感?