将控制器限制为特定的请求方法

时间:2015-12-12 00:30:43

标签: c# asp.net security penetration-testing

从安全角度来看。当你有一个敞开的控制器时,可能发生的最坏情况是什么。我的意思是你可以使用post,get,put,delete,update,trace等来调用这个控制器。

1 个答案:

答案 0 :(得分:1)

我猜你在谈论一个没有用[Authorize]属性装饰的控制器。

可能发生的最坏情况取决于你如何看待它。假设您的控制器有一个get方法,它会公开一些与隐私相关的信息。这意味着这些敏感信息可供互联网上的任何人使用。

同样,如果您使用post方法删除某些信息,互联网上的任何人都可以调用删除方法。