postback Segurança
https://stackoverflow.com/questions/205887
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Eu tenho trabalhado com jQuery e * .asmx serviços web ultimamente, e eu estou tentando ser consciente de segurança em fazê-lo.
Eu acho que seria possível apresentar um pedido de AJAX - mesmo quando logado-out - a um recurso que só deve ser ao mesmo tempo acessível logado
.Assim, I incluem teclas especiais e hashes com cada uma dessas solicitações de AJAX, a fim de validar o estado do usuário antes de executar determinadas ações do lado do servidor.
No entanto
Eu sempre assumiu que Postbacks estavam seguros a esse respeito. Isso .NET jogaria um erro se ele recebeu um pedido que tinha sido adulterado.
Isso é uma suposição segura? Ou devo validar todos os pedidos, se eles são recebidos via AJAX ou um não-AJAX HTTP POST?
Suponho que ambos são tecnicamente HTTP POSTs, mas os AJAX um apenas submete o que você explicitamente passar, ao passo que um normal ASP.NET inclui todos os valores viewstate. Isso está correto?
Solução
Você não deve confiar em qualquer coisa que vem em mais de HTTP -. É trivial para fabricar um pedido GET ou POST
