我想知道如何通过浏览到网址来阻止用户直接访问操作方法。我有一个ViewUser操作方法,其中从URL传递ID。现在,用户可以用不同的ID替换ID,并且将执行action方法。现在我没有设置指定的路线。是否可以仅允许从ActionLinks访问操作方法?
答案 0 :(得分:1)
使用UUID代替id。 UUID.randomUUID()。 如果这不是一个选项,请考虑传入身份验证令牌。
答案 1 :(得分:1)
由于显而易见的原因,无法限制对特定<a />标记的网址的访问。您应该使用forms authentication之类的内容,并检查当前经过身份验证的用户是否有权执行他/她请求的操作。