Reicht '[httppost]' allein aus, um sich gegen JSON -Entführung in ASP.NET MVC zu sichern?

ist das Attribut von nur [httppost] die HTTP -Anforderung einschränken?

Wenn Sie die HTTP -GET -Anforderung in der [HTTPPOST] -TRUTS -Limit -Operationsmethode verwenden, benötigen Sie immer noch JsonRequestBehavior?

jsonRequestBehavior ist sehr wichtig, da MVC standardmäßig eine "Ablehnung erhalten" -Strategie erkennt. Dies ist eine Sicherheitsmaßnahme, um JSON zu verhindern, dass bösartige Angreifer JSON -Daten abfangen können, die über HTTP -Anfragen gesendet werden.

In dem angegebenen Code wurde die HTTP -GET -Anforderung mit [httppost] effektiv verhindert. Wenn die Methode jedoch sensible Daten zurückgibt, kann sie von JSON immer noch leicht angegriffen werden. Um Sicherheitsrisiken zu verringern, darf es eindeutig der HTTP -Anfrage ermöglichen, und JsonRequestBetBehavivirowget muss aufgerufen werden.

Mehr Erkenntnisse:

Die Strategie von "Ablehnung des Get" von 🎜> MVC zielt darauf ab, Entwickler zu ermutigen, über die HTTP -Anfrage sorgfältig die Bedeutung von offengelegten sensiblen Daten über die HTTP -GET -Anfrage zu berücksichtigen. Wenn die zurückgegebenen Daten keine sensiblen Daten sind, verwenden Sie jSonRequestBetBehaviVior.Allowget, damit die Anfrage anfordern wird, als sicher zu gelten.

Mit dem jüngsten Browser -Update ist JSON Hijacking zu einem weniger wichtigen Sicherheitsproblem geworden. Um eine potenzielle Bedrohung zu verringern, wird jedoch weiterhin empfohlen, die Rückgabe sensibler Daten über JSON in der HTTP -Anfrage zu vermeiden.

Das obige ist der detaillierte Inhalt vonReicht '[httppost]' allein aus, um sich gegen JSON -Entführung in ASP.NET MVC zu sichern?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!