Obecnie rozwijam aplikację MVC w ASP.net. Używam AJAX.ActionLink, aby zapewnić link do usunięcia na liście rekordów, jednak jest to bardzo niebezpieczne. Położyłem to:ASP.net MVC AntiForgeryToken przez AJAX
<AcceptVerbs(HttpVerbs.Post)>
Nad funkcją do usuwania, która zatrzymuje wywoływanie funkcji po prostu przez URL. Jednak druga dziura bezpieczeństwa, który nadal istnieje to, że jeśli miałbym zrobić prostą stronę HTML z tej treści:
<form action="http://foo.com/user/delete/260" method="post">
<input type="submit" />
</form>
Byłoby jeszcze zostać perfoming post, ale z innego miejsca.
Czy jest możliwe aby użyć AntiForgeryToken z AJAX actionlink? Jeśli tak, czy jest to bezpieczne podejście? Czy nie mam jeszcze więcej luk w zabezpieczeniach?
linkujące nie żyje – Keith
Nie trzeba formData.push ({name: '__RequestVerificationToken', wartość: żeton}); od serializeArray() zwróci wszystkie wejścia formularza, które zawierają __RequestVerificationToken ukryte pole. –
Tak trzeba zrobić to na słupach AJAX (przy użyciu bieżącego MVC 4 i MS dyskretny AJAX = jQuery) !!! –