我目前正在ASP.net中开发一个MVC应用程序。我正在使用AJAX.ActionLink在记录列表中提供删除链接,但这非常不安全。我已经把这个:AJAX上的ASP.net MVC AntiForgeryToken
<AcceptVerbs(HttpVerbs.Post)>
在功能上做删除,它停止简单地通过一个URL调用的函数。但是,仍然存在其他安全漏洞是,如果我是做一个基本的HTML页面与此内容:
<form action="http://foo.com/user/delete/260" method="post">
<input type="submit" />
</form>
它仍然会perfoming一个帖子,而是从不同的位置。
是否可以将AntiForgeryToken与AJAX ActionLink一起使用?如果是这样,这是一种安全的方法吗?有没有更多的安全漏洞我没有意识到?
该链接的死 – Keith 2010-04-01 09:08:29
你不需要formData.push({名称:“__RequestVerificationToken”,值:令牌});因为serializeArray()将返回表单中的所有输入,其中包括__RequestVerificationToken隐藏字段。 – 2011-08-25 06:44:08
是的,你确实需要这个AJAX帖子(使用当前的MVC 4和MS unobtrusive AJAX = jQuery)! – 2013-02-04 16:09:01