1. 两种测试结果不同的原因 #

这背后主要有两个核心因素在起作用：

• 请求方法触发的ASP.NET验证逻辑差异
  测试A是GET请求（直接在地址栏输入URL触发），而测试B是POST请求。在ASP.NET WebForms架构中，POST请求会默认验证系统自动生成的几个关键隐藏字段：__VIEWSTATE、__VIEWSTATEGENERATOR、__EVENTVALIDATION。这些字段用于校验请求是否来自合法的页面，防止恶意篡改。你的测试B表单里完全没有包含这些字段，服务端接收到POST请求后，会因为验证失败直接拒绝执行SaveButton对应的操作，自然不会更新目标字段。
  而GET请求通常不会触发这类验证（或者你的应用配置允许通过GET方式触发控件事件），所以测试A的GET请求可以顺利通过校验，完成字段更新。
• XSRF防护机制的覆盖范围限制
  你部署的XSRF防护机制大概率只针对POST请求生效，没有对GET请求做防护配置。这就导致GET请求可以绕过防护逻辑，而POST请求被拦截，最终出现两种测试结果不一致的情况。

2. 测试A是否属于有效CSRF攻击测试 #

是的，测试A完全属于有效的CSRF攻击测试。
CSRF攻击并不局限于POST请求，GET请求同样是常见的攻击载体：攻击者只需要构造包含恶意参数的GET URL，然后通过诱导用户点击链接、加载带恶意URL的图片（比如<img src="你的恶意GET URL">）等方式，就能让已登录用户的浏览器自动发送该GET请求，借用户的登录凭证完成敏感操作。
你的测试A成功触发了字段更新，说明你的应用允许通过GET请求执行敏感操作，并且这部分请求没有被XSRF防护覆盖，存在明确的CSRF漏洞。

内容的提问来源于stack exchange，提问作者Patrick Lucien