« [HttpPost] » suffit-il à lui seul à protéger contre le piratage JSON dans ASP.NET MVC ?

L'attribut de seul [HTTPPOST] limite-t-il la demande de GET HTTP?

Lorsque vous utilisez la demande HTTP GET dans la méthode de l'opération de limite d'attribut [HTTPPOST], pourquoi avez-vous encore besoin de JSonRequestBehavior?

JSONRequestBehavior est très important, car par défaut, MVC réalise une stratégie de "rejet de rejet". Il s'agit d'une mesure de sécurité pour empêcher le détournement de JSON.

Dans le code fourni, la demande de GET HTTP a été effectivement empêchée d'utiliser [HTTPPOST]. Cependant, si la méthode renvoie des données sensibles, elle peut toujours être facilement attaquée par JSON. Afin de réduire les risques de sécurité, il est clairement autorisé à permettre à la demande de GET HTTP, et JSONREQUESTBETBEHAVIRIVOWGET doit être appelé.

Plus d'informations:

La stratégie de «rejet» de MVC vise à encourager les développeurs à considérer soigneusement la signification des données sensibles divulguées via la demande HTTP GET via la demande HTTP GET. Si les données renvoyées ne sont pas des données sensibles, utilisez JSONRequestBetBehavivior.Allowget pour permettre de demander à être considéré comme sûr.

De plus, avec la récente mise à jour du navigateur, le détournement de JSON est devenu un problème de sécurité moins important. Cependant, afin de réduire toute menace potentielle, il est toujours recommandé d'éviter de retourner des données sensibles via JSON dans la demande HTTP GET.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!