asp.net-mvc – MVC AntiForgeryToken重用以前生成的令牌

到目前为止,该机制似乎正常工作,因为如果我没有将令牌作为输入隐藏字段提供给使用[ValidateAntiForgeryToken]注释的目标Action,则会按预期引发错误.

但是我觉得很奇怪,如果我使用Firebug或Chrome检查器捕获了几个生成的令牌,将它们复制到记事本然后转到另一个页面,该页面也使用AntiForgeryToken并且基本上用任何先前生成的令牌替换隐藏字段,这是一个错误没有提出.我期望总是有一个1：1的关系(Page Hidden Field – ValidationAtServer),因为如果某人能够获得该值,将能够在应用程序中伪造任何需要AntiForgeryToken的任何形式的请求

我的印象是,一旦生成令牌,就不可能重复使用相同的令牌,我认为这是框架本身的安全漏洞.

如果有人能够提供更多的洞察力,将会非常感激它.