Quelle est l'utilisation du sel jeton anti-contrefaçon?

Dans ASP.NET MVC 1.0, il est une nouvelle fonctionnalité pour la manipulation de cross site request forgery problème de sécurité:

 <%= Html.AntiForgeryToken() %>
[ValidateAntiForgeryToken]
public ViewResult SubmitUpdate()
{
    //... etc
}

J'ai trouvé le jeton généré en html cessent de changer à chaque fois un nouveau formulaire est rendu.

Je veux savoir comment ces jeton est généré? Et quand utiliser un logiciel de scan de ce site, il signale un autre problème de sécurité: Session fixe. Pourquoi? Depuis le jeton de garder changé, comment ce problème peut-il venir ?

Et il y a une autre fonction, qui est le "sel" de la antiForgeryTokenmais je sais vraiment ce que ce utilisé pour, même à travers nous n'utilisons pas de "sel" pour générer le jeton, le jeton qui change tout le temps, alors pourquoi avoir une telle fonction?

source d'informationauteur MemoryLeak