我知道如何使用MVC的AntiForgeryToken屬性及其關聯的HTML幫助器來幫助XSRF保護我的應用程序的表單POST。如何保護我的JsonResult GET調用?
對於實現GET的JsonResults可以做些類似的事情嗎?
例如,我的觀點中包含的onsubmit jQuery的調用像這樣:
$.getJSON("/allowActivity/YesOrNo/" + someFormValue, "{}", function(data) {
if(data.Allow) {
//Do something.
}
});
我希望確定這JsonResult是預期頁只調用。
編輯:
我發現this post有關類似的問題,沒有具體的答案。
確保我的GET(非破壞性)URL只被來自我自己的頁面的AJAX調用消耗的最簡單方法是什麼?
你將如何整合與$ .getJSON或$就調用__RequestVerificationToken價值?請記住,這是一個GET請求。 – 2009-02-16 22:58:21
讀自http://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)_Prevention_Cheat_Sheet「在URL令牌披露」 「如果敏感的服務器端操作,保證只響應POST請求,然後沒有必要在GET請求中包含令牌「關鍵是確保GET不會修改數據。否則,你不需要保護GET請求 – 2010-03-22 21:12:15