будет также зашифровано значение в файле cookie сеанса
Да.Он представляет токен.И это то же значение, что и для скрытого поля.На самом деле это Html.AntiForgeryToken() помощник, который делает 2 вещи.Он генерирует токен и помещает его в скрытое поле, а также устанавливает cookie с тем же значением.
, и если да, то как [ValidateAntiforgeryToken] на контроллере действий будет знать, как расшифроватьоба значения и совпадают с ними?
Он использует тот же алгоритм шифрования / дешифрования, который используют классические WebForms для шифрования / дешифрования ViewState.Это симметричный алгоритм шифрования, основанный на ключах машины.Вот почему, если вы работаете в веб-ферме, вы должны убедиться, что у вас есть одинаковые машинные ключи на всех узлах, потому что, если токен защиты от подделки был сгенерирован и зашифрован на одном узле веб-фермы, он не сможет быть дешифрован на другомузел, когда отправляется запрос POST, если машинные ключи не совпадают.