所以我在谷歌上搜索这个问题并找不到任何明确的例子,因为几乎所有相关的故事都是关于用户登录的网站等。
所以我的场景如下,asp.net MVC3网站,没有用户登录,什么都没有。不过,我确实有一些表格,联系方式和一些计算功能。
我使用 Nhibernate,并将我的 Smtp 服务器凭据放在代码本身中,而不是在 web.config 中。我还有一个自定义错误页面,并且发布方法具有 [HttpPost] 属性。
作为最后一个功能,我有一个 AJAX/json get 方法,它可以获取标题列表。(此控制器方法具有 [AcceptVerbs(HttpVerbs.Get)] 属性)。
我是否在这里遗漏了一些大的安全漏洞(sql 注入、跨站点脚本)?
多谢你们