Ho implementato la protezione anti-contraffazione utilizzando ValidateAntiForgeryTokenAttribute in MVC 5. Funziona bene, ma in futuro potremmo passare a un approccio più "web farm" all'hosting. Se eseguo la mia applicazione in fase di sviluppo e apro un modulo, riavvia il server Web (riavviando l'app in Visual Studio) e quindi invio un modulo, non lancia System.Web.Mvc.HttpAntiForgeryException.Come sopravvive il token anti-contraffazione MVC tra i riavvii del server Web?
La nostra applicazione non utilizza altri stati di sessione. Qualcuno può aiutarmi a capire come il mio server riprende da dove era stato interrotto? Non sto definendo un machineKey nel mio web.config o in qualsiasi altro posto che posso trovare. Ha qualcosa a che fare con l'esecuzione in un ambiente di sviluppo?
Gli unici riferimenti che posso trovare a questo sono per le versioni precedenti di MVC, quindi mi chiedo se questo è risolto in un modo diverso ora.
Sono contento che questa funzionalità funzioni, ma ho bisogno di capire perché.
Grazie per quello. Sono consapevole che i due valori vengono confrontati, ma penso che la chiave di crittografia utilizzata per decrittografare i valori debba essere rigenerata quando IIS viene riavviato. Non dovrebbe essere in grado di decifrare i valori dopo che ciò accade perché la chiave è nuova. – DustinA
Ah, vedo cosa stai chiedendo. Grande domanda. Aggiornerò la mia risposta –
Apprezzo il tempo che hai impiegato per scrivere quella risposta, ma non sono sicuro che sia corretto. Questo sito Web di Microsoft afferma che "i payload dei token anti-XSRF sono crittografati e firmati". Ecco l'URL della pagina: http://www.asp.net/mvc/overview/security/xsrfcsrf-prevention-in-aspnet-mvc-and-web-pages. Credo che quello che sta accadendo nel mio caso è che il MachineKey usato per cifrare e decifrare in realtà non cambia tra il riavvio del sito web o del pool di app come in passato. Non riesco a trovare la documentazione per supportarlo, ma è quello che penso stia accadendo. – DustinA