この投稿では、すべての JSON HttpGet および HttpPost AJAX 呼び出しのトークン システムについて説明します。
つまり、AntiForgeryToken 属性を使用してページにトークンを作成し、その値が AJAX 呼び出しを介してコントローラーに返されることを手動で検証します。
http://www.asp.net/web-api/overview/security/preventing-cross-site-request-forgery-(csrf)-attacks
何時間ものインターネット調査の後、この可能性への言及は常にありますが、実際にそれを実装する人は誰もいません. 代わりに、一般的に繰り返される手法は、1) HttpPost AJAX リクエストのみを使用する (REST を破壊する)、2) すべての json 応答を匿名オブジェクトにラップする、.net MVC4 で非常に洗練されていないコードになる、3) 解析不能な cruf を使用する、これが壊れる、というものです。 backbone.js などの一般的なライブラリ
では、上記のトークン システムを使用しないのはなぜでしょうか。私は何が欠けていますか?