Adakah `[httppost]` sahaja cukup untuk menjamin JSON Hijacking di ASP.NET MVC?

Adakah atribut hanya [httppost] Hadkan permintaan HTTP?

Apabila menggunakan permintaan HTTP GET dalam kaedah operasi had atribut [HTTPPOST], mengapa anda masih memerlukan JSONREQUESTBEHAVIOR?

JsonRequestBehavior sangat penting, kerana secara lalai, MVC menyedari strategi "penolakan mendapatkan". Ini adalah langkah keselamatan untuk menghalang JSON daripada merampas.

Dalam kod yang disediakan, permintaan GET HTTP telah dihalang dengan berkesan menggunakan [httppost]. Walau bagaimanapun, jika kaedah itu mengembalikan data sensitif, ia mungkin masih mudah diserang oleh JSON. Untuk mengurangkan risiko keselamatan, ia jelas dibenarkan untuk membenarkan permintaan HTTP, dan JSONREQUESTBETBEHAVIVIROWGET mesti dipanggil.

Lebih banyak pandangan:

strategi "penolakan GET" MVC bertujuan untuk menggalakkan pemaju untuk berhati -hati mempertimbangkan makna data sensitif yang didedahkan melalui permintaan HTTP melalui permintaan HTTP GET. Jika data yang dikembalikan bukan data sensitif, gunakan JSONREQUESTBETBEHAVIR.OllOWGET untuk membolehkan permintaan dianggap selamat. Di samping itu, dengan kemas kini penyemak imbas baru -baru ini, JSON Hijacking telah menjadi isu keselamatan yang kurang penting. Walau bagaimanapun, untuk mengurangkan sebarang ancaman yang berpotensi, masih disyorkan untuk mengelakkan kembali data sensitif melalui JSON dalam permintaan GET HTTP.

Atas ialah kandungan terperinci Adakah `[httppost]` sahaja cukup untuk menjamin JSON Hijacking di ASP.NET MVC?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!