¿Por qué no se incluye AntiForgeryToken en todos los formularios de forma predeterminada?

Question

Me interesa por qué no AntiForgeryToken incluido en cada formulario ASP.NET MVC de forma predeterminada? Parece que las ventajas de incluirlo siempre superan las posibles desventajas. Y este comportamiento podría deshabilitarse en caso de necesidad, como los formularios web HttpRequestValidationException .

Answer 1

El AntiForgeryToken solo se movió de "MVC Futures" a "MVC Core" en febrero, por lo que es probable que el momento impida que se haga un accesorio incorporado.

La otra razón posible es que el equipo que desarrolló el marco MVC realmente ha puesto todo el poder en manos de los desarrolladores. Podrías usar algo más en lugar de AntiForgeryToken de la misma manera que puedes elegir usar un marco de prueba diferente, marco de datos, etc. Es un nuevo enfoque cuando miras a MS históricamente, donde te obligarían a usar lo que suministraron. / p>

Answer 2

Creo que no querrás tenerlo en formularios con el método GET .