将控制器限制为特定的请求方法[关闭]答案

【问题标题】：Limiting controllers to specific request method [closed]将控制器限制为特定的请求方法[关闭]
【发布时间】：2015-12-12 00:30:43
【问题描述】：

从安全角度来看。当您的控制器完全打开时，可能发生的最坏情况是什么。我的意思是你可以使用 post、get、put、delete、update、trace 等调用这个控制器。

【问题讨论】：

【解决方案1】：

我猜你说的是一个没有用[Authorize] 属性修饰的控制器。

可能发生的最坏情况取决于您如何看待它。假设你的控制器有一个 get 方法，它暴露了一些隐私相关的信息。这意味着互联网上的任何人都可以使用这些敏感信息。

同样，如果你有一个post 方法来删除一些信息，互联网上的任何人都可以调用删除方法。

【讨论】：

我想我应该更具体地说明该方法将受到表单身份验证的保护，因此在这种情况下不需要授权属性。我在想为什么我需要用 http post 或 http get 属性来装饰控制器。有什么害处，默认情况下 mvc.net 是否有任何防止其他 http 协议的保护（不确定这是否是正确的措辞）