0
我想知道是否是安全調用一個JavaScript文件的控制器動作,並傳遞(說敏感)的參數。使用參數從JavaScript調用控制器動作是否安全?
假設最終用戶對某件事進行了賭注,然後該賭注的價值將被髮送給控制器操作。
賭注本身輸入到網頁上的文本框和JavaScript把該值作爲參數傳遞給一個按鈕點擊事件的動作。
在動作被調用之前,用戶是否可以在點擊按鈕後操縱他/她的下注值?
感謝
A
回答
1
它可以被操縱,但不應該有問題,只要你不會發送例如一個價格給控制器將被處理。
想一想:有人訂購比薩餅,比薩餅的價格是從javascript發送到控制器。這不是一個好方法,因爲價格可以設置爲0,並且你沒有錢。在這種情況下,您會將ID或匹薩的名稱傳遞給控制器,並從數據庫中獲取價格。
你的情況的原因是沒有區別的,如果他類型10,然後操縱到20這不是一個問題,如果他直接類型20.在這兩種情況下,你會得到20
如果號碼你正在處理你的控制器中的所有數據,你應該是安全的。如果你將數據傳遞給控制器檢查,如果這是一個問題,如果它不是用戶鍵入的值。
+0
謝謝你的解釋和例子。得到它了 ;-) – Kristian
0
我在想,如果它是安全調用從JavaScript文件中的控制器動作,並通過(說敏感)的參數給它。
「保存」 的方面...?如果連接是SSL,那麼您肯定可以認爲這些值將從客戶端安全地傳輸到服務器。但穩定性方面的「安全」取決於您的應用。
可以將參數進行操作之前發送到控制器?
當然。但參數「敏感」的方式是什麼?沒有客戶/用戶知道它,沒有什麼可以從客戶端發送到服務器。
+0
編輯我的問題。謝謝你的回答,儘管 – Kristian
1
今天,大多數現代網站被大量JavaScript驅動的,所以是的,它是安全的呼叫從一個控制器動作JavaScript文件。但是你必須確保你有一些安全措施。
- 基於SSL的HTTP。 (加密敏感日期&防止中間人攻擊)
- 防僞標記(防止跨站點請求僞造)
- 始終驗證客戶端輸入。在執行任何操作之前,請確保您有適當的服務器端驗證(數據註釋等)和模型狀態有效(ModelState.IsValid)。
- 我知道asp。net mvc具有一定程度的防範跨站點腳本攻擊的內置保護,但要確保客戶端輸入總是以HTML編碼,如果您將其顯示回網頁。
相關問題
- 1. Asp.net MVC控制器參數null當從javascript調用動作時
- 2. Kendo UI Grid使用Javascript數據源調用控制器動作
- 3. 流利的安全性 - 配置參數控制器動作
- 4. 從控制器調用參數
- 5. 使用link_to調用控制器動作
- 6. 使用jQuery調用控制器動作
- 7. 將視圖控制器作爲參數傳遞給AFNetworking請求是否安全?
- 8. 從Rails控制器調用JavaScript函數
- 9. 從控制器調用javascript函數
- 10. 從javascript函數調用控制器
- 11. EmberJS:從子控制器調用動作
- 12. 從控制器的視圖調用不同的控制器動作雖然javascript
- 13. 從main()調用LoadLibrary是否安全?
- 14. 如何從JavaScript調用Zend框架控制器和動作
- 15. 從單獨的javascript文件調用ASP.NET MVC控制器動作
- 16. 使用Attrubutes調用控制器的OAuth安全性?
- 17. 從參數調用動作
- 18. 在控制器動作內部調用Javascript函數-YII
- 19. Rails從控制檯調用控制器動作
- 20. 當使用它作爲參數時,增加一個迭代器是否安全?
- 21. 使用機架中間件的參數調用控制器動作
- 22. 沒有任何參數調用ko.applyBindings是否安全?
- 23. 如何從javascript調用控制器CodeIgniter
- 24. 從Javascript window.open調用AngularJS RouteProvider控制器?
- 25. 從mvc3控制器調用javascript方法?
- 26. 如何從javascript調用codeiginiter控制器
- 27. 是否使用URL從隱藏域XSS安全中調用AJAX?
- 28. 我這樣做是否正確 - 從link_to調用控制器的動作
- 29. Mvc3 C# - 是否可以從不同的控制器調用動作?
- 30. 如何從網格動作欄調用控制器的動作
它可以被操縱嗎?是的 –
他只能在文本框中輸入不同的值。區別在哪裏? – marsze