Devo usare ValidateAntiForgeryToken in ogni richiesta POST?

Question

Ho una manciata di pagine con la richiesta HttpPost e ho ricevuto un documento dal mio collega che esegue la scansione del mio sito con Acunetix (credo). Il risultato dice HTML form without CSRF protection (9). Il suggerimento è di utilizzare Same-origin policy implementando token. La mia domanda:

1. Dal punto di vista delle prestazioni vs sicurezza, ne vale la pena se uso Token in ogni richiesta POST? Io uso solo Token in sensibile POST richiesta come LOGIN, Register, transazione, ecc
2. Questo probabilmente non è rilevante con il titolo, ma perché il software pentest come Acunetix elencare solo alcune delle mie pagine CSRF possibile rischio quando ho un molte pagine con la richiesta POST, come funziona il pattern di rilevamento?

Qualsiasi aiuto sarà apprezzato.

Answer 1

Sì, dovresti includere l'attributo ValidateAntiForgeryToken in ogni HttpPost ... presumendo che tu stia usando le migliori pratiche e HttpPost significa che la richiesta ha qualche tipo di effetto collaterale.

Per una lunga discussione sulla questione, vedi This discussion over on IT security SE site.

Sembra Acunetix è solo riportando questo su ogni pagina che contiene un modulo senza presente token. Vedi Their documentation.