我有一個自定義[AuthenticationFilter]
,它只是重定向未被授權訪問管理內容的用戶。是否有任何理由過濾POST操作?
我過濾器應用到
[AuthenticationFilter]
public ActionResult Index() {}
不過,我也有
[HttpPost]
public ActionResult Index(HttpPostedFileBase file) {}
用於處理文件上傳。我在這裏需要屬性嗎?
我的直覺告訴我沒有。沒有辦法將文件發佈到頁面,因爲uploadButton
被第一種方法阻止加載。
我能想象的唯一的其他安全問題是跨站點AJAX帖子,但這不應該是可能的,或者至少是不太可能的,因爲它是一個Intranet站點。
那麼,是否有任何理由將[AuthenticationFilter]
應用於文件處理程序?
我可以看到你的意思,如果我說,使用Javascript來隱藏控件。但是,在這種情況下,我根本不把控制權交給客戶。它停止在服務器端。所以我不確定你的意思是「完全控制」。 –
最終用戶可以創建自己的上傳按鈕。他們可以創建自己的表格,模仿您的具體情況併發布到您的服務中。他們可以使用Curl以編程方式直接發佈到您的網站,但請求與瀏覽器發送的請求無法區分。他們可以完全控制離開他們機器並進入服務器的內容。 –