Sécurité post-publication
https://stackoverflow.com/questions/205887
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Je travaille depuis peu avec les services Web jQuery et * .asmx, et j'essaie d'être conscient de la sécurité.
Je pense qu'il serait possible de soumettre une demande AJAX - même après la déconnexion - à une ressource qui ne devrait être accessible que si vous êtes connecté.
J'inclus donc des clés spéciales et des hachages avec chacune de ces requêtes AJAX afin de valider l'état de l'utilisateur avant d'effectuer certaines actions côté serveur.
TOUTEFOIS
J'ai toujours supposé que les Postbacks étaient sans danger à cet égard. .NET générerait une erreur s’il recevait une demande qui avait été falsifiée.
Est-ce une hypothèse sûre? Ou dois-je valider TOUTES les demandes, qu’elles soient reçues via AJAX ou via un POST HTTP non AJAX?
Je suppose que les deux sont techniquement HTTP POST, mais le AJAX ne soumet que ce que vous transmettez explicitement, alors qu’un ASP.NET normal inclut toutes les valeurs viewstate. Est-ce correct?
La solution
Ne vous fiez à rien de ce qui arrive via HTTP - il est simple de créer une requête GET ou POST.
