我一直使用jQuery和*的.asmx Web服务还很少,我想是安全意识的这样做。
我想,这将有可能提出一个AJAX请求 - 即使注销的 - 以一种资源,应该只可以访问在登录项。
因此,我包括为了执行某些服务器端操作之前验证用户的状态,特殊键和哈希与这些AJAX请求。
然而
我一直以为回发在这方面是安全的。如果它收到已被篡改的请求.NET将抛出一个错误。
那是一个安全的假设?或者我应该验证所有请求,无论他们是通过AJAX或非AJAX HTTP POST收到?
我想这两个在技术上是HTTP的POST,但AJAX一个只有提交了什么你明确地传递,而一个正常的ASP.NET一个包括所有的视图状态值。那是对的吗?
你不应该相信任何通过HTTP进来 - 这是微不足道的制造GET或POST请求。