Я заполнил приложение ASP.NET MVC, и в конце мы проходим тест безопасности. Я прошел все тесты, кроме двух. Одним из них является CSRF. В моем приложении я поместил @Html.AntiForgeryToken() на каждую форму, которая будет отправлена на сервер, а соответствующий метод действия был отмечен атрибутом ValidateAntiForgeryToken. После упражнения я думаю, что я прав, поскольку большая часть Интернета предлагает делать то, что я на самом деле делаю, но команда тестирования говорит, что CSRF провалилась. Теперь они выдвигают замечание о том, что значение cookie не изменяется при каждом запросе, а изменяется на странице формы.
Я не уверен, почему значение изменяется на странице, а не в cookie?