我最近一直在使用jQuery和* .asmx网络服务,而且我正努力保持安全意识。
我认为可以将一个AJAX请求 - 即使在注销时 - 提交给只能在登录时访问的资源。
因此,我在每个AJAX请求中都包含特殊键和哈希值,以便在执行某些服务器端操作之前验证用户的状态。
无论其
我一直认为Postbacks在这方面是安全的。如果.NET收到被篡改的请求,则会抛出错误。
这是一个安全的假设吗?或者我应该验证所有请求,无论是通过AJAX还是非AJAX HTTP POST接收?
我认为两者在技术上都是HTTP POST,但是AJAX只提交你明确传递的内容,而普通的ASP.NET包含所有的viewstate值。这是对的吗?
答案 0 :(得分:2)
你不应该相信任何通过HTTP传入的东西 - 制作GET或POST请求是微不足道的。