0
我經歷了許多博客文章,描述如何使用[ValidateAntiForgeryToken]屬性驗證我們Web應用程序中的用戶。但是這具有限制,例如只能用於HTTPPOST方法。我的要求是我有一個MVC 5應用程序,它使用HTTPGET方法返回敏感數據(例如:銀行對賬單)。如何從匿名用戶授權/保護這些操作方法? 我想寫一個基於令牌的授權機制。如何保護MVC5中的HTTPGET方法
A
回答
2
您是對的 - ValidateAntiForgeryToken可緩解跨站點請求僞造(CSRF)。它特定於POST,因爲它可以關聯服務器發出的響應,以及從用戶發佈的HTML。 GETs沒有CSRF的概念。
要保護匿名用戶的GETS,請使用[Authorize]屬性的任何方法,您需要用戶登錄到網站。如果他們不是,他們將被重定向到登錄部分,如web.config中配置。
相關問題
- 1. 如何保護dll方法
- 2. 如何保護Web API的方法
- 3. 如何測試受保護的方法
- 4. 如何測試受保護的方法?
- 5. 設置方法不受保護,我如何保護它?
- 6. IDataProtector保護和取消保護方法
- 7. 如何保護api方法名稱
- 8. 如何保護REST GET方法?
- 9. 如何訪問第三方庫中受保護的Java方法?
- 10. Junit受保護的方法
- 11. 受保護的方法
- 12. 保護軟件的方法
- 13. Excel VBA中保護密碼的方法
- 14. Java中受保護的方法?
- 15. Java中的受保護方法
- 16. C#中的「受保護」方法?
- 17. 接口中的受保護方法
- 18. 抽象類中的受保護方法
- 19. 如何在無關的類中訪問受保護的方法?
- 20. 如何保護java.lang.Object的受保護方法免受子類攻擊?
- 21. 如何嘲笑的第三方代碼保護的方法
- 22. 保護端點方法
- 23. 嘲諷保護方法
- 24. 繼承保護方法
- 25. Restler映射保護方法
- 26. Spring安全保護方法
- 27. 如何在Dart中模擬受保護的方法?
- 28. 如何在C中訪問受保護的方法#
- 29. 如何從javadoc中排除受保護的方法?
- 30. 如何在Clojure中擴展受保護的方法
謝謝多米尼克。我的問題是用戶被分配到具有一組功能的動態角色。角色正在分配用戶。因此,我不能將它標記爲[Authorize(Role =「Adminstrator」)] – Rama
@Ajith:這將要求用戶至少登錄,因此拒絕匿名訪問。 –