csrf漏洞测试

我在机器 A 上使用 localhost 在 IIS 上托管了一个小型 MVC 应用程序。我的主页中有以下 html。这里的域名是B机的IP地址，用于测试目的。

<div class="row">
    <div class="col-md-4">
        <h2 class="jumbotron">You have won a prize!</h2>
        <p>
            To redeem your prize. Click this button.
        </p>
        <form action="http://target_IP_address/eline/webController/Populate" method="POST">
            <input type="hidden" name="dateF" value="3/16/2022 3:01:26 PM" />
            <input type="hidden" name="dateT" value="3/17/2022 3:01:26 PM" />
            <input type="submit" class="btn btn-primary btn-lg" value="Give me my prize" />
        </form>
    </div>  
</div>

现在，在机器 B 中，我登录到了存在漏洞的网站。然后，我单击一个链接，转到计算机 A 上托管的网站。当我到达该网站时，我单击

"submit"

按钮。这就是我的困惑开始的地方。机器 B 中没有发出此请求的记录。我确实在机器 A 中看到了该请求。这是我看到的。

我的印象是我会在机器 B 上看到该请求。因为我在机器 A 上看到了它，所以我确信我搞砸了。如果

response

缺少另一个自定义标头（csrf-token：一些唯一令牌），我实现的用于检查 csrf 攻击的修复应该将自定义标头（csrf-Detected：1）附加到

request

。由于此标头没有显示在“响应标头”部分中，因此我认为检查没有发生在

Populate

中的

webController

方法之前。谁能指出我做错了什么？