Я пытаюсь защитить от CSRF и имею два сценария:
- Выполнение POST с другого сайта, и это не удается, когда я включаю AntiForgeryToken
- Я попытался из своего «вредоносного» Javascript (работающего на другом сайте) сначала выполнить GET страницы, проанализировать ее и извлечь RequestVerificationToken, а затем выполнить POST. Это тоже не удается, но мне непонятно почему?
Можно кто-нибудь, пожалуйста, объясните почему?
задан Amirhossein Mehrvarzi 14 November 2015 в 21:32
поделиться