Я разрабатываю приложение ASP.NET MVC и планирую защитить каждый запрос без GET (POST, PUT, DELETE и т. д.) с помощью AntiForegeryToken.
Я реализовал расширение классической проверки AntiForgery на основе [__RequestVerificationToken], отправленного в заголовке. Это потому, что большинство моих вызовов являются асинхронными ($.ajax()), и мне проще отправить значение скрытого поля таким образом.
Имеет ли смысл помещать один единственный @Html.AntiForgeryToken() в _Layout.cshtml (шаблон для всех страниц) и всегда ссылаться только на него?
Я пытался понять, что будет отличаться между этой опцией и помещением ее в каждую форму (которую я почти не использую, так как мои запросы почти все асинхронны), но я этого не сделал.
Может ли кто-нибудь прояснить это для меня?
Спасибо
Лоренцо