Actualmente estoy desarrollando una aplicación MVC en ASP.net. Estoy usando AJAX.ActionLink para proporcionar un enlace de eliminación en una lista de registros, sin embargo, esto es muy inseguro. He puesto esto:ASP.net MVC AntiForgeryToken sobre AJAX
<AcceptVerbs(HttpVerbs.Post)>
Durante la función de hacer el borrado, lo que detiene la función que se llama simplemente mediante una dirección URL. Sin embargo, el otro agujero de seguridad que todavía existe es que si tuviera que hacer una página HTML básico con este contenido:
<form action="http://foo.com/user/delete/260" method="post">
<input type="submit" />
</form>
todavía sería perfoming un puesto, pero desde un lugar diferente.
¿Es posible utilizar AntiForgeryToken con AJAX ActionLink? Si es así, ¿es este un enfoque seguro? ¿Hay más agujeros de seguridad que no me he dado cuenta?
de ese vínculo roto – Keith
No es necesario formData.push ({nombre: '__RequestVerificationToken', valor: token}); ya que serializeArray() devolverá todas las entradas en el formulario, que incluyen el campo oculto __RequestVerificationToken. –
Sí, sí necesita esto en publicaciones AJAX (utilizando MVC 4 actual y MS discreto AJAX = jQuery) !!! –