我已经Google了,但是无法确定ASP.NET MVC的v4 RequestVerificationToken是否应该针对每个请求都有所不同?
我在所有环境中都会注意到这一点,即使在单个服务器上运行也是如此。用户已登录,但刷新页面时(F5)每次都会生成一个不同的令牌。
这是正常的吗?
答案 0 :(得分:1)
这完全正常。用户登录时没有区别。
请注意:同步器令牌模式是一种技术,其中Web应用程序在所有HTML表单中嵌入了对每个请求 唯一的令牌密码和 ,并在服务器端。令牌可以通过确保不可预测性和 唯一性 的任何方法生成(例如,使用随机种子的哈希链)。 因此,攻击者无法在其身份验证请求中放置正确的令牌