0
我经历了许多博客文章,描述如何使用[ValidateAntiForgeryToken]属性验证我们Web应用程序中的用户。但是这具有限制,例如只能用于HTTPPOST方法。我的要求是我有一个MVC 5应用程序,它使用HTTPGET方法返回敏感数据(例如:银行对账单)。如何从匿名用户授权/保护这些操作方法? 我想写一个基于令牌的授权机制。如何保护MVC5中的HTTPGET方法
A
回答
2
您是对的 - ValidateAntiForgeryToken可缓解跨站点请求伪造(CSRF)。它特定于POST,因为它可以关联服务器发出的响应,以及从用户发布的HTML。 GETs没有CSRF的概念。
要保护匿名用户的GETS,请使用[Authorize]属性的任何方法,您需要用户登录到网站。如果他们不是,他们将被重定向到登录部分,如web.config中配置。
相关问题
- 1. IDataProtector保护和取消保护方法
- 2. 如何保护REST GET方法?
- 3. 受保护的方法
- 4. 保护软件的方法
- 5. Excel VBA中保护密码的方法
- 6. C#中的“受保护”方法?
- 7. Java中受保护的方法?
- 8. Java中的受保护方法
- 9. 如何保护java.lang.Object的受保护方法免受子类攻击?
- 10. 如何从Ruby中的实例方法访问受保护的类方法?
- 11. 保护端点方法
- 12. 嘲讽保护方法
- 13. 继承保护方法
- 14. Episerver HttpGet方法返回null
- 15. 如何在Dart中模拟受保护的方法?
- 16. 如何在scala中使用受保护的方法jvm
- 17. 如何用.net dll文件中的密码保护方法?
- 18. 如何在Clojure中扩展受保护的方法
- 19. 如何在受测试的方法中模拟受保护/私有方法?
- 20. 受保护的和私有的方法
- 21. EasyMock和测试受保护的方法
- 22. 覆盖受保护的内部方法
- 23. 保护域对象的正确方法?
- 24. Ruby受保护的方法问题
- 25. Rails模型:受保护的方法?
- 26. 对象类的受保护方法MemberWiseClone()
- 27. 关于访问受保护的方法
- 28. 模拟受保护的方法
- 29. respond_to?和受保护的方法
- 30. 保护SQL密码的最佳方法
谢谢多米尼克。我的问题是用户被分配到具有一组功能的动态角色。角色正在分配用户。因此,我不能将它标记为[Authorize(Role =“Adminstrator”)] – Rama
@Ajith:这将要求用户至少登录,因此拒绝匿名访问。 –