このリンク ( http://software-security.sans.org/developer-how-to/developer-guide-csrf ) は、Visual Studio 2012 以降、Microsoft が組み込みのクロスサイト リクエスト フォージェリ (CSRF) 保護を追加していることを示しています。新しい Web フォーム アプリケーション プロジェクトに。新しい ASP .NET Web フォーム アプリケーションをソリューションに追加し、Site.Master コード ビハインド ページを表示します。このソリューションは、Site.Master ページから継承するすべてのコンテンツ ページに CSRF 保護を適用します。
Visual Studio 2012 によって自動生成されたコードは、ランダムな GUID を生成し、その GUID を HttpCookie に格納します。この GUID は、さまざまな Web ページで使用されます。各ページで、この GUID は Page.ViewStateUserKey に割り当てられるため、ViewStateUserKey は CSRF 攻撃を保護できます。条件は、アプリが SSL を使用する必要があることです。
Cookie に暗号化が必要ないのはなぜですか? アプリに SSL が必要であることはわかっています。しかし、Cookie にプレーン テキストで格納された GUID は、セキュリティ上よくありませんね。