-4
Können Sie bitte erklären, wie funktioniert das ganze AntiForgeryToken? Weil ich ein kleines Missverständnis bekommen habe.ASP.NET MVC - CSRF - AntiForgeryToken - Wie funktioniert es?
Ich glaube, wenn ich @ Html.AntiForgeryToken in meinem Formular hinzufügen, wird es ein generiertes Token in meiner versteckten Eingabe und Cookie. Und dann, wenn das Formular gesendet wird, überprüft das Attribut ValidateAntyFgeryToken, ob das in der Eingabe des Formulars gesendete Token den gleichen Wert wie das in Cookie hat.
Warum also ist es dem Angreifer nicht möglich, einen gefälschten Cookie und eine falsche Eingabe mit demselben Wert zu erstellen?
Anti-Fälschungs Cookies werden mit einem Schlüssel vom Server verwendet wird verschlüsselt. Ein gefälschter Cookie wird nicht entschlüsselt, da der Angreifer nicht weiß, was der Entschlüsselungsschlüssel ist. –