C'è questo modulo ASP.NET "change password" che ha sia la convalida degli eventi sia il viewstate abilitato. Non ci sono token anti-csrf specifici. Da quanto ho capito, al fine di eseguire un attacco CSRF di successo, un utente malintenzionato dovrà essere in grado di ottenere sia il valore dello stato di visualizzazione che il valore di convalida degli eventi. In questo caso, il modulo è sicuro dagli attacchi CSRF?