在我的网络应用程序中,我使用的是 signalR。SignalR 连接使用长轮询传输,它向服务器发出 POST 请求并在查询字符串中传递参数。
现在我使用 IBM 应用扫描工具扫描了我的应用程序。测试操作 /signalr/poll 请求的 Method 从 POST 到 GET 并在服务器上执行所需的操作。对于相同请求的 GET 和 POST 动词,服务器响应相同。因此工具报告此请求易受攻击,因为响应是相同的。
那么如何限制 signalR HUB 服务器仅使用 POST 方法接受此请求?
以下是要求:
原始请求
被操纵的请求
