Postbacks Sicherheit
https://stackoverflow.com/questions/205887
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Ich habe mit jQuery und * .asmx Web-Services in letzter Zeit, und ich versuche, auf Sicherheit bedachte dabei zu sein.
Ich meine, es wäre möglich, eine AJAX-Anforderung senden - auch wenn abgemeldet -. Auf eine Ressource, die nur zugänglich, während angemeldet sein sollte
So ich bin spezielle Tasten und Hashes mit jedem dieser AJAX-Anforderungen, um die Benutzer-Zustand vor der Ausführung bestimmte serverseitige Aktionen zu überprüfen.
JEDOCH
Ich habe immer angenommen, dass Postbacks in dieser Hinsicht sicher war. Das .NET würde einen Fehler aus, wenn es eine Anfrage erhalten, die manipuliert worden war.
Ist das eine sichere Annahme? Oder soll ich bestätige alle Anfragen, ob sie über AJAX oder ein nicht-AJAX HTTP POST empfangen werden?
ich nehme beide sind technisch HTTP POSTs, aber die AJAX man trägt nur das, was Sie explizit übergeben, während ein normaler ASP.NET man alle Ansichtszustand Werte enthält. Ist das richtig?
Lösung
Sie sollten nichts vertrauen, die in über HTTP kommt -. Es ist trivial, eine GET oder POST-Anforderung herstellen
