如何在启用AntiForgeryToken的情况下允许跨站点请求

Question

我们都知道如何使用AntiForgeryToken来避免跨站点请求伪造，并且它足够有效。

我有不同的情况（但我认为这是常见的），我有两个asp.net mvc的web服务器，称他们为A和B.

出于某种原因，我想打从POST请求网页A到网络服务器B给出了请求的动作B有[ValidateAntiForgeryToken]属性开启。如何让它成为可能？

我看到有一个与Html.AntiForgery一个潜在的与域和virtualpath：试过，但没有运气

@Html.AntiForgeryToken(salt, domain, virtualpath) 

。任何人都知道如何解决这个问题？

Answer 1

如何使它成为可能？

不可能。反伪造令牌的整个安全性依赖于Cookie，并且正如我们在学校学到的一样，Cookie不能跨域共享。

Answer 2

由于cookie权限，对于遇到同样问题的用户，如果我们将这两个网站托管在同一个域中，则答案是可能的。

例如：http：//site1.com和http：//site2.com将无法正常工作

http://mainsite.com/site1和http://mainsite.com/site2会工作。