我应该以所有形式使用AntiForgeryToken，甚至登录和注册吗？

#1 楼

是的，在登录页面中包含防伪令牌很重要。

为什么？由于可能发生“登录CSRF”攻击。在登录CSRF攻击中，攻击者使用攻击者的帐户将受害者登录到目标站点。例如，考虑一下邪恶的攻击者Evelyn对Paypal用户Alice的攻击。如果Paypal不能保护其登录页面免受CSRF攻击（例如使用防伪令牌），则攻击者可以静默地将Alice的浏览器登录到Paypal的Evelyn帐户中。爱丽丝被带到Paypal网站，爱丽丝已登录，但以Evelyn身份登录。假设Alice然后单击页面以将其信用卡链接到她的Paypal帐户，并输入她的信用卡号。爱丽丝（Alice）认为她正在将信用卡链接到她的Paypal帐户，但实际上她已经将其链接到伊夫琳（Evelyn）的帐户。现在，伊夫林（Evelyn）可以购买东西，并从爱丽丝的信用卡中扣除。哎呀。这是微妙的并且有点晦涩难懂，但足够严重，您应该为用于登录的表单操作目标添加防伪令牌。有关此漏洞的更多详细信息和一些实际示例，请参阅本文。 br />什么时候可以放弃防伪令牌？通常，如果目标是URL，并且访问该URL没有副作用，则无需在该URL中包含防伪令牌。

粗略的经验法则是：在所有POST请求中都包含一个防伪令牌，但对于GET请求则不需要它。但是，这种粗略的经验法则是非常粗略的近似。它假设GET请求都是无副作用的。在设计良好的Web应用程序中，希望如此，但实际上，有时Web应用程序设计人员不会遵循该准则并实现具有副作用的GET处理程序（这是一个坏主意，但这并不罕见） 。这就是为什么我建议基于准则的要求，而不是基于GET vs POST的准则，该准则是否会对Web应用程序的状态产生副作用。

#2 楼

当您需要防止某人使用特定凭据恶意将您登录到网站时，可能需要在登录页面上具有令牌。我可以看到这种情况，如果有人陷害某些需要使用特定用户登录的内容。话虽这么说，但这是一个人为的例子。