Есть ли способ скрыть/закодировать или защитить вызов ajax?

Question

В настоящее время я изучаю Asp.Net MVC (я исхожу из фона WebForms), и я реализую Ajax-запросы для вызова методов контроллера, которые возвращают объекты Json. Но проблема, с которой я столкнулся, - это когда я хочу выполнить определенные действия до тех пор, пока пользователь не достигнет какого-либо этапа, например, добавив дополнительный ввод текста, добавив кнопку сохранения, создав новый список опций, проблема в том, что когда пользователь аутентифицирован. Я могу выполнить вызов ajax с консоли разработчика (например, Google Chrome) и получить или отправить объект json, необходимый для этого конкретного метода, даже если этот метод имеет атрибут [Авторизовать] (когда пользователь правильно зарегистрирован) и AntiForgeryToken настроен с небольшим знанием jQuery, MVC и взглядом на вкладку «Сеть» (в Chrome), я могу подделать, что вызов был выполнен из-за действия пользователя, которое я разрешил из кода, а не из того, что он был сделан с консоли (I испытал себя, и это сработало). Я знаю, что мне нужно выполнить двойную проверку, клиентскую и серверную. Это не проблема, когда валидаций не так много, но когда число увеличивается, это может быть утомительным.

Есть ли способ сделать безопасные вызовы ajax, такие как кодирование или скрытие, или согласно вашим знаниям, что является наилучшей практикой при выполнении этих запросов. Я был бы доволен веб-ресурсами или книгами, где я мог бы получить правильную информацию о теме (я искал, но не нашел ничего, что было бы ясным или конкретным в отношении моего вопроса, возможно, я искал неправильный путь)

Thanks ,

Answer 1

AuthorizeAttribute в качестве дополнительного необязательного параметра Roles

Получает или задает роли пользователей, которым разрешено получать доступ к контроллеру или действия способа.

Один из вариантов - назначить особую роль пользователю, когда они смогут достичь определенных действий контроллера (через Ajax или иначе) и управлять доступом с помощью параметра Роли.

Другой вариант - просто выполнить собственную проверку в контроллере, чтобы узнать, соответствовал ли этот пользователь тем критериям, которые вы считаете необходимыми для доступа к действию, и возвращать ошибку, если нет.

UPDATE

Есть ли способ, чтобы сделать более безопасные Ajax звонки, как кодирование или сокрытие, или в соответствии с вашим знанием, что является лучшей практикой при выполнении этих запросов.

Вы никогда не сможете доверять клиентскому приложению. Это гораздо более справедливо для веб-клиентских приложений, поскольку инструменты для управления клиентом (браузером) настолько мощны и просты в использовании. Вы абсолютно ничего не можете сделать, чтобы кто-то не использовал консоль для запуска команды Ajax, для которой у них есть действительные учетные данные.

Answer 2

вы никогда не сможете этого сделать, если пользователь веб-сайта имеет разрешение для соответствующего контроллера - тогда любые вызовы ajax, сделанные с консоли, будут иметь один и тот же сеанс и одинаковые файлы cookie и будут предоставлены одинаковые разрешения -

Что бы вы могли сделать, это добавить длинный раздражающий токен для каждого вызова ajax в качестве дополнительной проверки подлинности, но затем пользователь может просто пойти и посмотреть трафик ajax и скопировать и вставить этот токен в свой вызов ajax.

Answer 3

Ajax calls немного сложно сделать безопасным. Токены помогут остановить междоменные запросы.Но тот же пользователь может получить доступ к другим данным, используя один и тот же вызов. Хорошей техникой является использование авторизации на основе утверждений на основе asp.net или просто проверка в вашем контроллере для пользователя и связанных с ним данных. Если этот пользователь не имеет отношения к данным, которые он запрашивает, затем генерирует исключение.

JK.