Hay un formulario ASP.NET de "cambio de contraseña" que tiene la validación de eventos y viewstate habilitados. No hay fichas específicas anti-csrf. Según entiendo, para ejecutar un ataque CSRF exitoso, un atacante tendrá que poder obtener tanto el valor de estado de vista como el valor de validación del evento. Si ese es el caso, ¿está el formulario a salvo de los ataques CSRF?
Los formularios de cambio de contraseña son, por lo general, objetivos erróneos para los ataques CSRF, ya que, si siguen una buena práctica, requerirán que los usuarios tengan una contraseña existente (de lo contrario sería una debilidad de seguridad en sí misma), que alguien está explotando. un CSRF vuln. Es improbable que lo sepa (y si lo hicieran, en la mayoría de los casos, simplemente usarían eso y no se preocuparían por CSRF)
ViewState y la validación de eventos no brindarán, por sí mismos, una protección completa contra CSRF si el atacante tiene una cuenta en la aplicación y puede obtener valores válidos para enviar. El usuario de ViewStateUserKey puede proteger contra CSRF (consulte ) para más detalles.