4

我很感兴趣,为什么默认情况下每个 ASP.NET MVC 表单中都没有包含AntiForgeryToken ?似乎总是包含它的好处超过了可能的缺点。如果需要 Web 表单HttpRequestValidationException,可以禁用此行为。

4

2 回答 2

4

我认为是因为您不想将它放在带有GET方法的表单上。

于 2009-04-29T10:47:06.393 回答
1

AntiForgeryToken 在 2 月份才从“MVC Futures”转移到“MVC Core”——因此很可能是时机阻止了它成为内置夹具。

另一个可能的原因是,开发 MVC 框架的团队真的把所有的权力都交给了开发人员。您可以使用其他东西代替 AntiForgeryToken,就像您可以选择使用不同的测试框架、数据框架等一样。当您从历史上看 MS 时,这是一种新方法,他们会让您使用他们提供的东西。

于 2009-04-29T10:44:34.527 回答