Hay un formulario ASP.NET de "cambio de contraseña" que tiene la validación de eventos y viewstate habilitados. No hay fichas específicas anti-csrf. Según entiendo, para ejecutar un ataque CSRF exitoso, un atacante tendrá que poder obtener tanto el valor de estado de vista como el valor de validación del evento. Si ese es el caso, ¿está el formulario a salvo de los ataques CSRF?