0

在网站环境中,如何安全地向 Handler.ashx 发布 ajax 帖子,如何阻止人们直接调用该 handler.ashx 并将垃圾放入服务器端并可能破坏服务器端?

使用 firefox 和 firebug,您几乎可以快速轻松地破解帖子。

我在想这些想法。

  1. 在处理程序中检查您是否已登录。
  2. 站点加载时的列表项创建一个唯一 ID 保存为 cookie,当调用处理程序时,该 ID 必须存在于 Ajax 和处理程序中
  3. ajax调用必须来自某个页面的列表项

你还有其他建议吗?

谢谢

4

1 回答 1

4

简短的回答

使用身份验证(WindowsForms等)并验证您的输入。

稍微长一点的回答

如果您的站点配置了身份验证提供程序,您的处理程序将遵循相同的规则。

您应该始终验证任何用户输入或 Web 服务输入。不要假设您的客户正在为您提供原始输入。正如您所提到的,任何具有基本 Web 开发技能的人都可以欺骗 POST。验证时请记住这一点。

于 2012-06-27T18:01:21.160 回答