これまで、「ASP.NET Core 3.0 RazorPages事始め」ってタイトルを使ってたけど、今回から「事始め」は取ることにします。

formタグヘルパーの偽造防止トークン

Razor Pages では、FormTagHelperが form要素に偽造防止トークンを挿入してくれます。

<form method="post">
    ...
</form>

これで、以下のような非表示のinputタグ（偽造防止トークン）が自動挿入されます。

 <input name="__RequestVerificationToken" type="hidden" value="CfDJ8Kws0PPAm1NChsmiTNfRcsX0TTepdsJf6F51WcaEnzEJH9W0IvKaCaoa7btzRNswqHlUXgzrHgA6rfcka5Jqt3u_93IMOSpOLtDRapBkHEPPhl7sGZ1lwyYlgzEcYpAcGKNeK-zL_8IaHnwMa0-viyY" />

これは、クロスサイトリクエストフォージェリ（Cross site request forgeries、CSRF）と呼ばれる脆弱性対策を行うためのものです。

試しに、ブラウザの開発者ツールを使ってトークンを書き替えてsubmitしてみます。

HTTP ERROR 400 のエラーになりました。

AutoValidateAntiforgeryToken 属性

調べてみたら、AutoValidateAntiforgeryToken とか ValidateAntiForgeryToken という属性があるんですが、自動生成されたソースにはこれらの属性を使っている個所はどこにもありません。

デフォルトで、AutoValidateAntiforgeryToken が適用されてるようです。

偽造防止トークンを生成しない

asp-antiforgery="false"

次のように書くと偽造防止トークンは生成されません。

<form method="post"  asp-antiforgery="false">
    ...
</form>

まあ、あえてそうする理由は普通はないと思いますが...

IgnoreAntiforgeryToken 属性

IgnoreAntiforgeryToken属性を使うと、特定のページ あるいは、特定のページハンドラ（どうもこの名前が覚えられない...）だけ、偽造防止トークンの必要性を無くすことができます。

試しに、チュートリアルで作成したプログラムの EditModel クラスにIgnoreAntiforgeryToken 属性を適用してみます。

    [IgnoreAntiforgeryToken]
    public class EditModel : PageModel
    {

今度は、ブラウザの開発ツールで、トークンを書き替えてもエラーにならずに、データを更新することができました。

この属性も前述のasp-antiforgeryと同様に、通常の RazorPages アプリケーションでは、これを使うことはほとんど無いように思います。