ValidateAntiForgeryTokenAttribute--有助于防止恶意脚本提交伪造的页面请求

例子：模拟登陆

用途：防止CSRF（跨网站请求伪造）。

用法：在View->Form表单中:<%:Html.AntiForgeryToken()%>

        在Controller->Action动作上：[ValidateAntiForgeryToken]

原理：

1、<%:Html.AntiForgeryToken()%>这个方法会生成一个隐藏域：<inputname="__RequestVerificationToken" type="hidden" value="7FTM...sdLr1" />并且会将一个以"__RequestVerificationToken“为KEY的COOKIE给控制层。

2、[ValidateAntiForgeryToken]，根据传过来的令牌进行对比，如果相同，则允许访问，如果不同则拒绝访问。

关键：ValidateAntiForgeryToken只针对POST请求。

换句话说，[ValidateAntiForgeryToken]必须和[HttpPost]同时加在一个ACTION上才可以正常使用。

 

[HttpPost]
[ValidateAntiForgeryToken]
[ValidateInput(false)]
[AdminIdentity]
public ActionResult Create(FormCollection collection, MessageModel model)
{
}    

推荐使用方式：

1、Post-Only:大概思想是，拒绝所有的GET，只允许自己的POST。（安全，但不灵活）

2、GET只做显示，对所有的GET开放；POST做修改，对外界关闭，对自己开放。（灵活，但不够安全)

国外有个人说，其实这个过滤器本身就不安全，他如是说，所有的REQUEST都是可以伪造的。