【发布时间】:2016-06-30 10:52:36
【问题描述】:
最近我参加了一个 mvc 培训。培训师说 - 根据安全问题,我们必须使用 HttpPost 而不是 HttpGet。始终使用 HttpPost。
谁能解释一下 - 我们使用 HttpGet 时的安全问题是什么?
【问题讨论】:
-
使用 GET 进行操作的风险是:yoursite/somepage?action=deleteEverything">Click here! 此外,离开页面然后按浏览器的后退按钮
-
查看这篇文章以获取有关该主题的一些信息stackoverflow.com/questions/2080863/…
-
HttpGet 只能与从地址栏调用的 url 一起使用。所有的按钮和链接点击都应该使用 HttpPost 调用。 Bcoz 例如:'www.users.com/user/getinfo/4' 获取 id 4 的数据。在这种情况下,用户只需将不同的 id 传递给 url,即可轻松获取其他用户的数据。
-
我仍在试图弄清楚为什么这个问题被否决了?这是关于 GET 和 POST 如何真正在后台工作的常见误解。来自 WebForms 的很多人都处理了所有事情,当他们切换到 MVC 时,就像被交给了 Lambo 的钥匙一样,他们不知所措。
标签: c# asp.net-mvc