我有一个我们想在另一个平台上使用的 MVC4 应用程序。我们当前的安全性包括 http 请求的标头中的一些自定义数据,我很好奇其他人做了什么来解决部分回发的安全问题。我真的很喜欢其中一些(即部分回发)解决的灵活性,但担心基本上您的整个标头结构都在可见的 javascript 中。
问问题
140 次
1 回答
1
我真的很喜欢其中一些(即部分回发)解决的灵活性,但担心基本上您的整个标头结构都在可见的 javascript 中。
不必要。您可以在服务器上保留此标头的构造,然后仅在 javascript 中使用它:
<script type="text/javascript">
var securityHeader = @Html.Raw(Json.Encode(Html.GenerateSecurityHeader()));
</script>
然后使用这个 securityHeader 变量。显然,该值就在 HTML 中,但这并不比您当前拥有的安全性低(该值是任何人都可以自由查看的请求中 HTTP 标头的一部分)。它只是将标头的实际生成保留在服务器上。
说了这么多,既然表单身份验证已经将其内置到框架中,为什么还要重新发明轮子(或者如果您想要更多的灵活性,这要归功于基于声明的身份验证)?
于 2013-06-03T15:32:04.160 回答