System.Web.Helpers.AntiForgery cookieToken

Question

有人能解释一下在MVC中调用函数时cookieToken参数究竟是什么吗: AntiForgery.Validate( cookieToken，formToken)；是否可以使用cookieToken作为会话标识符来标识用户和当前会话？

Answer 1

不是的。

ASP.Net为每个请求生成一个随机的跨站点请求伪造(CSRF)令牌(即使是针对同一个用户)。您可以通过访问您的网站并查看源代码来验证这一点。将有一个隐藏字段"__RequestVerificationToken“，它将包含一个随机字母和数字的字符串。当您刷新页面时，它将随机生成一组新的字母和数字。

这不是标识特定会话的用户，而是标识单个请求的用户。

若要阅读有关CSRF攻击的更多信息以了解此令牌的用途，请阅读OWASP的前十名 on 跨站点请求伪造。