Здравствуйте, pumpurumer, Вы писали:

P>на вьюхе, ничего про modelData.Owner нету, но есть @Html.AntiForgeryToken()
P>так вот, когда вызывается POST Edit — data — Owner заполнен данными, которые указаны в GET
P>подскажите, куда копать? это какая-то магия? я не смог найти этому название в гугле.

Это ровно оно и есть https://msdn.microsoft.com/en-us/library/dd470175(v=vs.118).aspx
http://blog.stevensanderson.com/2008/09/01/prevent-cross-site-request-forgery-csrf-using-aspnet-mvcs-antiforgerytoken-helper/ — тут пример не в разоре, а ASP.NET MVC, но то же самое