我有MVC应用程序,在对该应用程序进行笔测试期间,笔测试团队强调了__RequestVerificationToken值可以重复使用(即,他们可以使用为该页面的上一个请求生成的__RequestVerificationToken值来发出POST请求。同一用户的先前登录会话)
是否有任何配置可以控制所生成的__RequestVerificationToken值的有效性?
cshtml
@using (Html.BeginForm("Register", "User", FormMethod.Post, role = "form", novalidate = "false"
{
@Html.AntiForgeryToken()
///// some more code
}
控制器
[HttpPost]
[ValidateAntiForgeryToken]
public ActionResult Register(parameter)
{
//// some code
}