我的组织要求我使用 ValidateAntiForgeryToken 属性保护我的 Logout(SAML 2.0 代码)方法。我在视图中使用 @Html.AntiForgeryToken() 将验证令牌和 cookie 发送到 Logout 方法进行验证,但是执行注销方法后,我收到错误 The required anti forgery form field __RequestVerificationToken is not present 。我尝试将隐藏字段 __RequestVerificationToken 注入到 Saml2PostBinding 生成的 HTML 响应中。它不起作用,仍然出现同样的错误。
SAML 2.0 是否支持防伪造令牌?
PS - 抱歉,我无法发布代码,因为该工具根本不允许我发布代码。希望以上信息足够了。如果还需要我提供任何信息,请回复。
可以使用防伪令牌保护发起登录和注销方法,但不能保护后续的 SAML 2.0 HTTP GET ant POST 序列。