1
最近我參加了mvc培訓。培訓師說 - 根據安全考慮,我們必須使用HttpPost而不是HttpGet。始終使用HttpPost。MVC HttpGet和HttpPost
任何人都可以解釋 - 當我們使用HttpGet時,安全問題是什麼?
A
回答
3
當通過安全連接(https)發送數據時,發佈請求的主體被加密且實際上不可讀,您只能看到數據正在發往的地址,而不能看到數據本身。另一方面獲取沒有正文,數據必須以任一查詢字符串或作爲路徑參數傳輸。儘管查詢字符串確實也被加密,但由於服務器和瀏覽器上的請求記錄,可以獲取該數據。
3
任何人都可以在公共論壇或計算器上插入圖片鏈接到您的網站。然後,接下來發生的:
- 瀏覽器的外觀,在URL中的圖像標籤
- 瀏覽器找到對應於域名的URL餅乾
- 瀏覽器發送請求與用戶Cookie的URL
- 你的服務器執行行動
- 瀏覽器嘗試將響應解析爲圖像並且失敗
- 瀏覽器呈現錯誤而不是圖像
但是,如果您將行爲標記爲Http Post,那麼這種情況不適用於90%的網站。但是你也應該考慮到,如果黑客可以在其他網站上創建一個表單,他仍然可以讓瀏覽器執行請求。所以你需要CSRF。那麼,瀏覽器做了很多事情來防止跨站請求,但在某些情況下仍然可能。
相關問題
- 1. HttpPost和HttpGet不工作?
- 2. asp.net mvc - [HttpPost/HttpGet]與[AcceptVerbs(HttpVerbs.Post/Get)]
- 3. HttpPost vs MVC中的HttpGet屬性:爲什麼要使用HttpPost?
- 4. .net webapi HttpGet vs HttpPost。爲什麼HttpGet?
- 5. 傳遞網址到HttpPost和HttpGet
- 6. MVC4忽略[HttpGet]和[HttpPost]屬性
- 7. HttpGet HttpPost方法偏差
- 8. 差異btwn HttpPost&HttpGet在android
- 9. ASP.NET MVC 3:如何強制ActionLink執行HttpPost而不是HttpGet?
- 10. Android使用HttpPost/HttpGet發送照片
- 11. 如何將HttpGet轉換爲HttpPost?
- 12. Rails的路線和Android手機HTTPGET和HttpPOST
- 13. HTTPGET for mvc
- 14. ASP.NET MVC HttpPost和SignOn()混淆
- 15. 在android中的httppost和httpget方法之間的區別?
- 16. HttpGet和HttpPost返回驗證錯誤並加載SelectList
- 17. 爲什麼不捕獲[HttpGet]和[HttpPost]屬性?
- 18. Java 8 HttpClient 4.5在一個函數中的HttpGet和HttpPost
- 19. MVC 3 [HttpPost]
- 20. HttpPost創建MVC
- 21. ASP.NET MVC 5 HttpPost
- 22. asp.net mvc validate [HttpPost] ActionResult()
- 23. MVC中的HttpPost 1
- 24. MVC HttpPost不工作
- 25. mvc httppost href參數
- 26. 爲什麼MVC堅持HttpGet?
- 27. MVC HttpGet頁面硬刷新
- 28. 部分視圖HttpPost被調用而不是HttpGet
- 29. 保持ViewModel列表從HTTPGet填充到HTTPPost ActionResult
- 30. 爲什麼要選擇HttpGet/HttpPost方法超過kSoap?
使用GET採取行動的風險是:Click here! 而且,事實上,你會離開頁面然後按瀏覽器的後退按鈕 –
看到這個職位對這個問題的一些信息後,再次觸發動作http://stackoverflow.com/questions/2080863/what-is-the-difference-between-a-http-get-and-http-post-and-why-is-http-post-wea –
應該使用HttpGet只有從地址欄中調用的網址。應該使用HttpPost調用所有按鈕和鏈接點擊。 Bcoz例如:'www.users.com/user/getinfo/4'獲取id 4的數據。在這種情況下,用戶可以通過簡單地將不同的id傳遞給url來輕鬆地爲其他用戶獲取數據。 –