1
最近我一直在使用jQuery和* .asmx web服務,並且我正在努力保持安全意識。Postback安全
我想可能會提交一個AJAX請求 - 即使當註銷時 - 應該只能在登錄時訪問的資源。
因此,爲了在執行某些服務器端操作之前驗證用戶的狀態,我在這些AJAX請求中包含了特殊鍵和散列。
但是
我總是認爲回傳在這方面是安全的。如果.NET收到了一個被篡改的請求,它會拋出一個錯誤。
這是一個安全的假設嗎?還是應該驗證所有請求,無論它們是通過AJAX還是非AJAX HTTP POST接收的?
我想兩者在技術上都是HTTP POST,但AJAX只提交你顯式傳遞的內容,而普通的ASP.NET包含所有viewstate值。那是對的嗎?
非常感謝,
邁克爾