我很感兴趣为什么默认情况下每个ASP.NET MVC表单中都没有包含AntiForgeryToken?似乎总是包括它的优点超过了可能的缺点。如果需要Web窗体HttpRequestValidationException,可以禁用此行为。
答案 0 :(得分:4)
我认为,因为您不希望在GET方法的表单上使用它。
答案 1 :(得分:1)
2月份AntiForgeryToken仅从“MVC Futures”转移到“MVC Core” - 因此时机很可能无法将其作为内置夹具。
另一个可能的原因是,开发MVC框架的团队确实将所有权力交给了开发人员。您可以使用其他东西而不是AntiForgeryToken,就像您可以选择使用不同的测试框架,数据框架等一样。当您从历史角度看MS时,它会让您使用它们提供的内容。 / p>