Открыл мое приложение в IE.
Создал фиктивные HTML-файлы и скопировал сгенерированное скрытое поле «__RequestVerificationToken» на фиктивную страницу. При отправке формы этого html-файла я вызываю свою службу. Когда я открыл эту фиктивную страницу на другой вкладке в IE и при отправке. Я увидел, что успешно смог для подачи данных.
В этом случае не удалось выполнить проверку токена Antiforgey.
Может ли кто-нибудь подсказать, как решить такую проблему.
Не могли бы вы опубликовать свой код, в котором вы разместили проверку? Может быть, что-то вроде:
[ValidateAntiForgeryToken(Salt="someArbitraryString")]
public ViewResult SubmitUpdate()
{
// ... etc
}
Спасибо!
Я получил ответ на свой вопрос
Validate Antiforgery Token сравнивает значение cookie со скрытым значением _requestVerificationToken. Поэтому, когда открывается html со значением скрытого поля _requestVerificationToken (скопировано из приложения) на новой вкладке, при отправке этой страницы он проходит проверку ValidateAntiforgery, поскольку значение cookie одинаково для обеих вкладок.
