我最近一直在使用 jQuery 和 *.asmx Web 服务,并且我试图在这样做时具有安全意识。
我认为可以将 AJAX 请求(即使在注销时)提交到仅应在登录时才能访问的资源。
因此,我在每个 AJAX 请求中都包含了特殊的键和散列,以便在执行某些服务器端操作之前验证用户的状态。
然而
我一直认为回传在这方面是安全的。如果 .NET 收到已被篡改的请求,它将引发错误。
这是一个安全的假设吗?或者我应该验证所有请求,无论它们是通过 AJAX 还是非 AJAX HTTP POST 接收的?
我想两者在技术上都是 HTTP POST,但 AJAX 仅提交您明确传递的内容,而普通的 ASP.NET 包含所有视图状态值。那是对的吗?