Это теоретический вопрос.
Может ли кто-нибудь, если он / она знает все о моем почтовом действии (URL, параметры ...), загрузить один из моих URL-адресов, проанализировать значение токена защиты от подделки и вызвать ранее упомянутое сообщение через ajax и добиться успеха?
Или эти токены как-то защищены? Я действительно не знаю, потому что я только начинаю MVC, и я хочу быть уверенным в своей безопасности.
Токены предназначены для смягчения CSRF-атак, поэтому, если злоумышленник смог получить токен для конкретный URL-адрес, получить его на веб-страницу и заставить вас посетить эту веб-страницу в течение определенного интервала времени, тогда они теоретически могут провести против вас успешную атаку CSRF. В этом задействовано много мелких вероятностей, и это будет относительно неэффективная атака, поскольку в простом случае у нее есть только одна цель.
Если я правильно помню (в настоящее время нет возможности проверить), токен содержит зашифрованные данные, относящиеся к одному пользователю, дату и время для действительного окна отправки и, возможно, статическую строку соли. Это значение токена помещается в скрытый ввод в форме, а также в файл cookie. При отправке формы значения расшифровываются и сравниваются значения отдельных данных. Если они совпадают, считается, что запрос поступил из известного источника.
Реализация фреймворка, на мой взгляд, конечно, очень хорошая реализация, и она подойдет для большинства приложений.
