الأمن إعادة النشر
https://stackoverflow.com/questions/205887
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
ولقد تم العمل مع مسج و* .asmx خدمات الإنترنت في الآونة الأخيرة، وأنا أحاول أن يكون الأمن واعية في القيام بذلك.
وأنا أحسب أنه سيكون من الممكن تقديم طلب AJAX - حتى عند تسجيل المغادرة - إلى الموارد التي ينبغي أن تكون متاحة فقط أثناء تسجيل الدخول
وهكذا، وتتضمن مفاتيح خاصة والتجزئة مع كل من هذه الطلبات AJAX من أجل التحقق من صحة حالة المستخدم قبل تنفيذ بعض الإجراءات من جانب الخادم.
ومع ذلك
وأنا افترض دائما أن إعادات النشر كانت آمنة في هذا الصدد. ومن شأن ذلك أن صافي الإلقاء خطأ إذا تلقت طلبا التي تم العبث بها.
هل هذا الافتراض؟ أو ينبغي أن تحقق ALL طلبات، سواء كانوا المستلمة عبر AJAX أو-AJAX غير HTTP POST؟
وأعتقد أن كلا من الناحية الفنية HTTP المشاركات، ولكن AJAX واحد يقدم فقط ما كنت تمر صراحة، في حين أن ASP.NET احد عادي يتضمن كل القيم حالة العرض. فهل هذا صحيح؟
المحلول
ويجب أن لا نثق أي شيء يأتي في أكثر من HTTP - أنها تافهة لتصنيع GET أو طلب POST
