我们写在Objective-C,使职位,以我们的ASP.NET MVC的服务器应用的iOS移动应用程序。 在iPhone上,所述HTTP栈(和饼干等)看起来与野生共享。 这让我们对XSRF攻击开放,所以如果我错了,我们需要保护的职位有防伪标记,并保护我们的控制器方法ValidateAntiForgeryTokenAttribute
。
我会说,我不正确地理解由该防伪标记生成和验证......特别是,在这种情况下使用的术语“随机数”是有些神秘的机构资格这个问题。
因为我们没有提供HTML到客户端,我们无法使用标准@Html.AntiForgeryToken()
所以我们反而要使用AntiForgery.GetTokens
收购,而令牌分配给我们的客户。 这有一个神秘的第一个参数: oldCookieToken
。 此刻,我只是将它设置为null
,一切似乎很好地工作。 因此,谁能告诉我...什么用提供旧令牌到令牌生成算法的? 如果只有一个令牌发放给我们的iOS应用和多个职位重复使用,这是怎么回事是有问题的?