Я хотел бы знать возможные риски наличия формы с атрибутом действия в среде asp.net mvc?Каков риск атрибута действия формы в asp net mvc?
Например, a create view имеет < form action = "/ Person/Create" ...> на разметке html.
Может ли кто-нибудь отправить сообщение в mydomain.com/Person/Create с помощью скрипача (например)?
Это очень похоже на сценарии Jquery ajax. Имя сообщения или имени метода отображается на html-значке вверх. Everbody может видеть исходный код html моей страницы. Это означает, что когда-нибудь можно увидеть имя моих действий.
Как я могу получить безопасный подход к этой проблеме?
Вне курса Я могу иметь атрибуты Bind на действии httppost. Но Мое желание состоит в том, чтобы сделать имена моих действий секретом или иметь идею лучшей практики. (Если возможно)
Спасибо за все.
Это не связано с ASP.NET MVC или jQuery. Где-то на клиенте вы должны хранить, куда будете отправлять свои данные. Вы можете попытаться замаскировать его, скрыть его, запутать его, но в конце концов он должен прийти от клиента и клиента, который вам доступен. – CrnaStena
Если ваш клиент вызывает сервер, пользователи смогут перехватывать URL-адреса. Там не должно быть ничего, что должно быть скрыто там. Вы должны сосредоточиться на том, чтобы обеспечить защиту конечных точек на основе пользовательских разрешений. Не имеет значения, как кто-то вызывает этот метод, просто передавая действительные данные. –