문제

나는 최근에 jQuery 및 *.asmx 웹 서비스와 함께 일해 왔으며, 그렇게하는 데 보안 의식을 갖기 위해 노력하고 있습니다.

로그인 된 경우에만 액세스 할 수있는 리소스에 AJAX 요청을 제출할 수 있다고 생각합니다.

따라서 특정 서버 측 작업을 수행하기 전에 사용자의 상태를 검증하기 위해 이러한 각 AJAX 요청에 특수 키와 해시가 포함되어 있습니다.

하지만

나는 항상 그와 관련하여 Postback이 안전하다고 가정했습니다. 그 .NET은 변조 된 요청을 받으면 오류가 발생합니다.

그게 안전한 가정입니까? 아니면 모든 요청이 Ajax를 통해 수신하든 비 Ajax HTTP 게시물을 통해 수신 되든 모든 요청을 검증해야합니까?

두 가지 모두 기술적으로 HTTP 게시물이라고 생각하지만 AJAX는 명시 적으로 전달한 것을 제출하는 반면, 일반 ASP.NET에는 모든 viewstate 값이 포함됩니다. 그 맞습니까?

도움이 되었습니까?

해결책

HTTP를 통해 오는 것을 신뢰해서는 안됩니다. GET 또는 Post 요청을 제조하는 것은 사소한 일입니다.

라이센스 : CC-BY-SA ~와 함께 속성
제휴하지 않습니다 StackOverflow
scroll top