C'è questo modulo ASP.NET "change password" che ha sia la convalida degli eventi sia il viewstate abilitato. Non ci sono token anti-csrf specifici. Da quanto ho capito, al fine di eseguire un attacco CSRF di successo, un utente malintenzionato dovrà essere in grado di ottenere sia il valore dello stato di visualizzazione che il valore di convalida degli eventi. In questo caso, il modulo è sicuro dagli attacchi CSRF?
I moduli di modifica della password sono in genere obiettivi errati per gli attacchi CSRF poiché, se seguono le buone pratiche, richiederanno la password esistente degli utenti (l'impossibilità di farlo sarebbe una debolezza della sicurezza di per sé), che qualcuno sta sfruttando un CSRF vuln. è improbabile sapere (e se lo facessero, nella maggior parte dei casi lo useranno e non si preoccuperanno di CSRF)
Viewstate e la convalida degli eventi non forniranno, di per sé stessi, una protezione completa da CSRF se l'utente malintenzionato ha un account sull'app e può ottenere valori validi da inviare. L'utente di ViewStateUserKey può proteggere contro CSRF (vedere questa domanda ) per maggiori dettagli.