문제
나는 최근에 jQuery 및 *.asmx 웹 서비스와 함께 일해 왔으며, 그렇게하는 데 보안 의식을 갖기 위해 노력하고 있습니다.
로그인 된 경우에만 액세스 할 수있는 리소스에 AJAX 요청을 제출할 수 있다고 생각합니다.
따라서 특정 서버 측 작업을 수행하기 전에 사용자의 상태를 검증하기 위해 이러한 각 AJAX 요청에 특수 키와 해시가 포함되어 있습니다.
하지만
나는 항상 그와 관련하여 Postback이 안전하다고 가정했습니다. 그 .NET은 변조 된 요청을 받으면 오류가 발생합니다.
그게 안전한 가정입니까? 아니면 모든 요청이 Ajax를 통해 수신하든 비 Ajax HTTP 게시물을 통해 수신 되든 모든 요청을 검증해야합니까?
두 가지 모두 기술적으로 HTTP 게시물이라고 생각하지만 AJAX는 명시 적으로 전달한 것을 제출하는 반면, 일반 ASP.NET에는 모든 viewstate 값이 포함됩니다. 그 맞습니까?
해결책
HTTP를 통해 오는 것을 신뢰해서는 안됩니다. GET 또는 Post 요청을 제조하는 것은 사소한 일입니다.
제휴하지 않습니다 StackOverflow