Через несколько потоков я вижу, что использование маркера защиты от подделки MVC является излишним в тех областях сайта, где пользователь не аутентифицирован.
У меня есть приложение, которое отправляет некоторую информацию на mysite.com с сайта site1, site2, site3 и т. д. Каждый сайт имеет уникальный идентификатор, который отправляется в запросе POST через асинхронный POST Javascript. Javascript, который выполняется на site1-3, создается на mysite.com, а затем возвращается на сайты с некоторыми заполненными переменными Javascript.
Итак, жизненный цикл выглядит следующим образом:
- Страница на site1 содержит ссылку Javascript на mysite.com.
- Эта ссылка относится к маршруту контроллера, который генерирует Javascript для возврата на site1.
- Конец возвращаемого JS содержит запрос POST, который возвращается на mysite.com, содержащий URL-адрес, браузер и т. д., сведения о посетителе страницы на site1.
Я могу легко прочитать параметры POST в принимающем контроллере из запроса JS POST, однако я хотел знать, есть ли смысл добавлять токен защиты от подделки в список параметров.
Если это так, мне пришлось бы сгенерировать его по первоначальному запросу и передать обратно как переменную JS в JS, возвращенном на site1, а затем передать его обратно вместе с формой POST во втором запросе.
Поскольку любая обработка на mysite.com будет происходить только в том случае, если будет найдена действующая учетная запись, есть ли смысл в этом?
Если да, то как мне сгенерировать токен защиты от подделки на уровне контроллера?