小编Nad*_*lic的帖子

我正在努力保护CSRF并且有两个风尚:

1. 从另一个站点执行POST,当我启用AntiForgeryToken时失败
2. 我尝试从我的"恶意"Javascript(在另一个站点上运行)首先执行页面的GET,解析它并提取RequestVerificationToken然后执行POST.这也失败但我不明白为什么？

任何人都可以解释原因吗？