從安全角度來看。當你擁有一個大開放的控制器時,最糟糕的情況是什麼?我的意思是,你可以使用帖子,獲取,放置,刪除,更新,跟蹤等來調用這個控制器。將控制器限制爲特定請求方法
0
A
回答
1
我想你是在談論一個沒有用[Authorize]
屬性裝飾的控制器。
什麼是可能發生的最壞情況,取決於你如何看待它。假設你的控制器有一個get方法,它暴露了一些隱私相關的信息。這意味着這些敏感信息適用於任何在互聯網上的人。
同樣,如果您有一個post
方法來刪除一些信息,互聯網上的任何人都可以調用刪除方法。
+2
我想我應該更具體的說,該方法將受表格認證保護,因此在這種情況下,授權屬性將不需要。我想更多的是爲什麼我需要用http post或http get屬性來裝飾控制器。有什麼害處,默認情況下mvc.net有任何保護措施,以防止其他http協議(不知道這是正確的措辭) – bdawg
相關問題
- 1. $ _POST方法請求限制
- 2. 推特請求限制
- 3. PHP將頁面請求限制到特定的服務器?
- 4. 將請求從一個控制器方法轉發到另一個控制器方法,BindingResult爲空
- 5. 速率限制算法限制請求
- 6. 爲特定元素製作ajax請求的最有效方法
- 7. 限制爲特定視圖的ASP.NET MVC控制器操作
- 8. 強制請求變量爲特定值?
- 9. Ajax請求控制器c#
- 10. 控制器與AJAX請求行爲
- 11. 限制對.netcore API控制器的請求數
- 12. Spring MVC:將請求屬性綁定到控制器方法參數
- 13. MojangAPI限制請求
- 14. API請求限制
- 15. WCAT請求限制
- 16. Echonest請求限制
- 17. WCF請求限制
- 18. JSON請求限制
- 19. IIS請求限制
- 20. 限制MySQL請求
- 21. GWT限制請求
- 22. 在Ruby中,如何將我的控制器中的方法限制爲特定用戶?
- 23. 遠程驗證限制爲編輯控制器的方法
- 24. 在WebLogic中將@Asynchronous請求的數量限制爲特定的EJB?
- 25. Django的控制器要求方法
- 26. 將APK限制爲特定用戶
- 27. 將varchar()列限制爲特定值?
- 28. 將屬性限制爲特定值
- 29. 將字符限制爲特定寬度
- 30. 將圖形限制爲特定格式
我不確定我是否理解這個問題。大多數控制器接受廣泛的動詞。 –
什麼將是一個很好的理由,不接受不同的動詞 – bdawg