Есть ли способ переименовать имя cookie RequestVerificationToken?

Question

Используя ASP.net MVC v2.0, есть ли способ изменить имя файла cookie __RequestVerificationToken?Чтобы скрыть наш базовый технологический стек, я бы хотел переименовать файл cookie во что-то, что невозможно отследить до ASP.Net MVC.

Подробнее об этом можно узнать в блоге Стива Сандерсона..

Answer 1

ASP.NET MVC 3 и 4 позволяют изменить имя файла cookie, задав статическое свойство AntiForgeryConfig.CookieName. (Ссылка MSDN здесь )

Я знаю, что вопрос задается конкретно о ASP.NET MVC 2, но этот вопрос все еще возвращает высокий рейтинг в поисковых системах по соответствующим запросам, таким как «ASP.NET MVC AntiForgeryToken cookie name». Я подумал, что добавлю сюда информацию, чтобы другие люди не декомпилировали исходный код ASP.NET MVC 3+, как я.

Answer 2

Глядя на исходный код MVC 2, я не думаю, что можно изменить имя файла cookie.Класс AntiForgeryData запускается:

private const string AntiForgeryTokenFieldName = "__RequestVerificationToken";

и для получения имени файла cookie, который он просто вызывает:

string cookieName = AntiForgeryData.GetAntiForgeryTokenName(ViewContext.HttpContext.Request.ApplicationPath);

в классе HtmlHelper.Он берет путь к приложению, преобразует его в базу 64 и добавляет его в конец __RequestVerificationToken, который вы видите при просмотре источника.

Если вам действительно нужно изменить имя, я бы порекомендовал загрузитьИсходный код MVC 2 из codeplex и посмотрите на создание вашего собственного помощника HTML и токена защиты от подделки, используя исходный код в качестве ссылки.Но при этом вы всегда можете внести свои ошибки ...