在ViewBag中放置敏感信息(用户ID,连接字符串,我可能不希望其他用户看到的内容)是不是一个坏主意?外部用户可以以任何方式获取该信息吗?
我的想法不是,他们无法达到它(我已经尝试过,而不是我在LulzSec)但我对其他人的想法感到好奇。
提前致谢!
答案 0 :(得分:3)
ViewBag是基于会话的,它只是基于CURRENT请求,因此具有与会话相同的约束,并且在该请求结束时删除了它的附加好处,所以不 - 这是不可访问的。即使有人可以窃取你的会话ID并劫持会话,viewdata也会消失。
TempData是另一个故事,会话劫持将允许用户劫持另一个会话 - 因此tempdata但是用户仍然无法在默认情况下看到它,除非您将此信息发送到跟踪信息中。所以基本上如果我可以窃取你的会话,你在下一个请求中的任何代码都将为我执行,而不是用户在下一个请求中“等待”。但是 - 他们仍然无法枚举并自行访问。
答案 1 :(得分:2)
由于ViewBag仅用于服务器端处理,添加动态功能以模仿更多Ruby或Python式方法,我认为您不需要担心安全性而不是其他所有存储和使用的安全性。你的服务器。