在史蒂文桑德森的書中,據說使用get刪除,更新......他重新使用Post。不是一個好主意。比方說,我有一個鏈接,說「禁用」來禁用記錄。我想使用而不是
@html.ActionLink("Disable",
$.get(...)
要禁用該行。使用getajax功能還是不好?
<a id = "[email protected]" class = "disable" href = "#">Disable</a>
感謝您的幫助
基本上,這種方法的主要問題在於瀏覽器傾向於假定某些東西是一種非常無害的行爲。不僅僅是瀏覽器 - 甚至是來自搜索引擎的網絡爬蟲,都會瀏覽每個可用的鏈接,然後可能會轉到該網址以查看可能存在的內容。
此外,它意味着每個請求的所有細節是很容易窺探 - 甚至是HTTPS加密傳輸可以顯示要求爲「updatePatientDetails.php?diagnosisTitle=Anal_Inflammation&patientSSN=100101011」
啊,這是不是其中之一的URL「輕「的建議,大家只是無視。至少,我寧願有人不正確地使用POST請求 - 但不是GET。
一旦有人提出刪除數據庫鏈接(作爲A HREF)的發佈GET請求到服務器,然後搜索引擎來了,發現這個「潛管理員頁面「並單擊每個鏈接。
GET請求是開發人員爲搜索引擎,瀏覽器預緩存等標記「安全」的方式。切勿將它們用於數據更改功能。
我明白你們兩個人的意思。現在看看編輯。目的地不在那裏。 javascript是獲得ajax的人。仍然不安全? – Richard77
我不認爲編輯會改變任何內容。 A)網絡爬行器已經或可能會查看JavaScript的鏈接。 B)安全問題仍然存在,甚至有許多瀏覽器使用這些方法的難以理解的方式。搜索插件可以執行GET以向您顯示頁面的屏幕截圖。瀏覽插件用GET請求預載頁面。回去/轉發到一個頁面使用簡單的GET請求。如果您使用適當的操作(如POST或DELETE),所有這些風險都將被否定。 – Katana314
非常感謝你 – Richard77