您好,
对于将被提交的视图,我有两个具有相同名称的操作,但其中一个具有此属性:
[AcceptVerbs(HttpVerbs.Post)]
在nonPost操作中,我经常进行一些验证,如果用户不正确,用户将重定向到另一个操作,例如验证编辑中的当前对象是否能够被更改。
我是否需要在帖子操作中进行完全相同的验证,以确保该页面不会被某种自定义帖子攻击?
如果是这样,你通常如何处理这个问题?我知道AuthorizeAttribute,但我需要做的验证是针对此操作的。
答案 0 :(得分:2)
我是否需要在帖子中进行完全相同的验证 确保该页面不会被某种自定义攻击的操作 张贴?
修改服务器上某些状态并需要授权的每个控制器操作都必须执行此授权。
我知道AuthorizeAttribute但我需要做的验证是 特定于此行动。
然后为这两个动作写一个特定的Authorize属性(显然你对这两个动作有相同的授权逻辑)。
但是你的描述有些奇怪。你说如果授权在GET操作中失败,你会重定向。但是当您重定向时,显然无法调用POST操作,因为重定向意味着GET。