Безопасность обратной передачи
https://stackoverflow.com/questions/205887
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
В последнее время я работаю с веб-сервисами jQuery и *.asmx и стараюсь при этом заботиться о безопасности.
Я полагаю, что можно было бы отправить запрос AJAX - даже при выходе из системы - к ресурсу, который должен быть доступен только при входе в систему.
Таким образом, я включаю специальные ключи и хеши в каждый из этих запросов AJAX, чтобы проверить состояние пользователя перед выполнением определенных действий на стороне сервера.
ОДНАКО
Я всегда предполагал, что постбеки в этом отношении безопасны.Этот .NET выдаст ошибку, если получит подделанный запрос.
Это безопасное предположение?Или мне следует проверять ВСЕ запросы, независимо от того, получены ли они через AJAX или через HTTP POST, отличный от AJAX?
Я предполагаю, что оба технически являются HTTP POST, но AJAX отправляет только то, что вы явно передаете, тогда как обычный ASP.NET включает все значения состояния просмотра.Это верно?
Решение
Не следует доверять ничему, что приходит по HTTP — создать запрос GET или POST тривиально.
