-4
Не могли бы вы объяснить, как работает весь этот AntiForgeryToken? Потому что я немного недопонимал.ASP.NET MVC - CSRF - AntiForgeryToken - Как это работает?
Я верю, когда добавляю @ Html.AntiForgeryToken в моей форме, в моем скрытом входе и в файле cookie будет создан токен. Затем, когда форма отправляется, атрибут ValidateAntyFOrgeryToken проверяет, имеет ли токен, отправленный во входной форме, то же значение, что и в cookie.
Почему злоумышленник не может создать поддельный файл cookie и поддельный вход с тем же значением?
Anti-Подделка куки зашифрованы с помощью ключа, используемого сервером. Поддельный файл cookie не будет расшифровываться, потому что злоумышленник не знает, что такое ключ дешифрования. –