为什么不同浏览器选项卡中具有不同值的AntiForgeryToken都能成功执行？

Question

我有一个表单，我的MVC5View防伪令牌。

我在两个不同的选项卡中打开了相同的网址，查看页面源代码，我得到了两个不同的__RequestVerificationToken表单令牌。

__RequestVerificationToken cookie具有相同的值。

第一个浏览器选项卡：

<input name="__RequestVerificationToken" type="hidden" value="JK3VfUNG8MbkWHRcUUoYoYuBEqYg1VZl38rT_Oje6WRpUHIKnRgVsaXX6K_qQMm5OXiw5UDjKlSppYBeEFZbvzKHCDndo_BXcZYkcnxL9E1" />

第二个浏览器选项卡：

<input name="__RequestVerificationToken" type="hidden" value="TFwq8uATFit48n63lm8AkWFw2uPCaAroIFYcjznF35tEbRc1vTyJaz3QDu4E_aIM85LcttBubeRqvxy-he0SMRQsTdtJwvvwQ_Adk1yWbVA1" />

显然，形式的防伪令牌必须与防伪cookie一起验证。

但是，尽管防伪饼干是相同的，但防伪令牌的形式是不同的。

如何在POST时成功执行两个页面？这里的解密是如何工作的？

提前谢谢。

Answer 1

浏览器根据站点的标识符生成令牌，cookie包含用于解密的密钥。只要站点保持"myapp.myserver.com“不变，浏览器就能够解密该值。浏览器只接受成功的解密，并因此验证令牌。ValidationResult =(令牌+ cookie =匹配)任何时候，令牌都可以生成，并且浏览器可以通过使用cookie来验证它是否属于给定的站点。