Почему AntiForgeryToken не включен во все формы по умолчанию?
-
03-07-2019 - |
Вопрос
мне интересно, почему нет Антифоржеритокен включено в каждую форму ASP.NET MVC по умолчанию?Кажется, что плюсы от постоянного включения перевешивают возможные недостатки.И это поведение можно отключить в случае необходимости, например, для веб-форм. HttpRequestValidationException.
Решение
AntiForgeryToken был перенесен из «MVC Futures» в «MVC Core» только в феврале, поэтому вполне вероятно, что время не позволило сделать его встроенным приспособлением.
Другая возможная причина заключается в том, что команда, разработавшая структуру MVC, действительно передала всю власть в руки разработчиков.Вы можете использовать что-то другое вместо AntiForgeryToken точно так же, как вы можете использовать другую среду тестирования, структуру данных и т. д.Это новый подход, если посмотреть на историю MS, когда они заставляли вас использовать то, что они предоставили.
Другие советы
Я думаю, потому что вы бы не хотели, чтобы это было в формах с GET
метод.