質問
私は最近jQueryと* .asmx Webサービスを使用していますが、そのためにセキュリティを意識しています。
AJAXリクエストは、ログアウトしていても、ログインしている間のみアクセスできるリソースに送信できると考えています。
したがって、特定のサーバー側アクションを実行する前にユーザーの状態を検証するために、これらの各AJAXリクエストに特別なキーとハッシュを含めます。
しかし
私は常に、ポストバックはその点で安全であると想定していました。改ざんされたリクエストを受け取った場合、その.NETはエラーをスローします。
それは安全な仮定ですか?または、AJAXまたは非AJAX HTTP POSTを介して受信されたかどうかにかかわらず、すべてのリクエストを検証する必要がありますか?
どちらも技術的にはHTTP POSTですが、AJAXは明示的に渡したもののみを送信しますが、通常のASP.NETにはすべてのビューステート値が含まれます。正しいですか?
解決
HTTP経由で送信されるものを信頼するべきではありません。GETまたはPOSTリクエストを作成するのは簡単です。
所属していません StackOverflow