Attualmente sto sviluppando un'applicazione MVC in ASP.net. Sto usando AJAX.ActionLink per fornire un collegamento di eliminazione in un elenco di record, tuttavia questo è molto insicuro. Ho messo questo:ASP.net MVC AntiForgeryToken su AJAX
<AcceptVerbs(HttpVerbs.Post)>
corso la funzione di fare la cancellazione, che ferma la funzione di essere chiamato semplicemente da un'URL. Tuttavia, l'altro buco di sicurezza che ancora esiste è che se dovessi fare una pagina di base HTML con questo contenuto:
<form action="http://foo.com/user/delete/260" method="post">
<input type="submit" />
</form>
sarebbe comunque perfoming un post, ma da una posizione diversa.
È possibile utilizzare AntiForgeryToken con un ActionLink AJAX? Se è così, è un approccio sicuro? Ci sono più buchi di sicurezza che non ho realizzato?
Quel link morto – Keith
Non è necessario formData.push ({nome: '__RequestVerificationToken', valore: Token}); poiché serializeArray() restituirà tutti gli input nel modulo, che includono il campo nascosto __RequestVerificationToken. –
Sì, questo è necessario per i post AJAX (utilizzando l'attuale MVC 4 e MS non invadente AJAX = jQuery) !!! –