【发布时间】:2015-01-20 18:05:48
【问题描述】:
我有一个 ajax 调用,用于启动从 SPA 到 MVC 应用程序中的控制器的“忘记密码”过程,如下所示:
[HttpPost]
public JsonResult ResetPassword(User acct)
{
...
}
我希望有一种方法可以将此控制器限制为仅来自该页面的帖子。我想我可以编写一个自定义属性,但我希望这是一个足够常见的问题,有人已经这样做了。是的,我意识到伪造标头以包含欺骗性引用数据是可能的,但是增加的安全层会让我更加放心。或者有没有人建议更好的方法来完成同样的事情?
感谢您的帮助!
【问题讨论】:
-
鉴于人们仍然可以伪造标题,我想说您的“安心”可能比真实更妄想(我说的很好。)您仍然必须解决无论如何,更大的整体安全图景,那么您实际上获得了什么?
标签: asp.net-mvc security referrer