AntiForgeryToken используется для предотвращения атак CSRF, однако ссылки в MSDN не дают мне подробного представления о том, что именно делает AntiForgeryToken, или как он работает, или почему все делается именно так.
Насколько я понимаю, он создает хеш внутри веб-страницы и файл cookie. Один или оба из них используют хеширование IPrincipal.Name
и симметричное шифрование.
Может ли кто-нибудь пролить свет на:
- Как AntiForgeryToken работает внутри
- Что следует использовать для защиты
- Что НЕ следует использовать для защиты
- What is the reasoning behind the implementation choices for #1 above?
- Example:
- is the implementation safe from "DoubleSubmit" cookies and other common vulnerability
- Есть ли проблемы с реализацией, если пользователь открывает несколько вкладок
- Чем отличается реализация MSFT от той, что доступна на SANS
- Example: