¿Funcionará el método AntiForgeryToken de ASP.Net MVC con los equilibradores de carga?
asp.net-mvc security (1)
Al usar ASP.Net MVC v2.0, estoy empezando a investigar el uso del método Html.AntiForgeryToken() cuando envío formularios que procesan datos. Puedo ver que establece un valor oculto en el formulario HTML y establece el mismo valor en una cookie de sesión.
La pregunta es: ¿los diferentes servidores web en una configuración de carga equilibrada crearán el mismo token en los formularios HTML? Parece que si no lo hacen, la cookie y el valor oculto de la forma no coincidirían y tendríamos un problema. Antes de comenzar a probar esto en una configuración LB, ¿quería comprobar si alguien ya tiene experiencia con esto?
Gracias paul
Si todas las máquinas de la granja comparten la misma <machineKey> , todo funcionará. Hay muchos recursos sobre cómo configurar esto. También hay un tutorial en MSDN .
Tenga en cuenta que el nombre <machineKey> es un poco confuso, ya que en realidad se establece por aplicación en ~/Web.config . Así que establezca la <machineKey> explícitamente en el Web.config de su aplicación, luego implemente en su granja.