1. Zuhause
  2. Frage und Antwort
  3. Sicherheitsprobleme für JsonRequestBehavior.AllowGet bei Verwendung von AJAX zum Abrufen von JSON

Sicherheitsprobleme für JsonRequestBehavior.AllowGet bei Verwendung von AJAX zum Abrufen von JSON

2017-07-07 1 views
0

Wenn ich AJAX verwendete, um JSON-Informationen abzurufen, erhalte ich ursprünglich einen Fehler, der besagt, dass die Anforderung blockiert wurde, da vertrauliche Informationen offengelegt werden können. Ich habe auf StackOverflow über JSON Hijacking und eine Reihe anderer Sicherheitsaspekte gelesen. Die meisten dieser Beiträge stammen jedoch aus früheren Jahren, und ich habe mich gefragt, ob die Antworten selbst etwas veraltet sind ... und ehrlich gesagt fand ich das alles relativ verwirrend.Sicherheitsprobleme für JsonRequestBehavior.AllowGet bei Verwendung von AJAX zum Abrufen von JSON

Ich stelle ein Beispielskript zur Verfügung, das ich derzeit verwende, das AJAX verwendet, um JSON-Informationen abzurufen, die JsonRequestBehavior.AllowGet ordnungsgemäß verwendet haben. Dieses Skript gibt die Infromation zurück, nach der ich es frage. Es gibt SalesOrder-Nummern und nicht mehr zurück - ich habe also nicht das Gefühl, dass es "sensible" Informationen weitergibt. Sollte ich dennoch über Sicherheitslücken besorgt sein? Ist es eine schlechte Übung, AllowGet zu verwenden?

Hier ist das Skript

<script> 
     $(document).ready(function() { 
      $('#printBtn').click(function() { 
       $.ajax({ 
        type: 'GET', 
        url: '/Home/GetSalesOrderListAsJSON', 
        success: function(response) { 
         var stringOfSalesOrders = ""; 
         var totalToMove = 0; 
         response.forEach(function(str) { 
          stringOfSalesOrders += str + ","; 
          totalToMove++; 
         }); 

         alert("Number being moved: " + totalToMove); 

         $.ajax({ 
          type: "POST", 
          url: "/Home/PostResults", 
          data: { s: numberOfActiveIds}, 
          success: function (results) { 
           if(results == "Success") { 
            window.location.href = '/Home/Results'; 
           } 
          } 
         }); 
        } 
       }); 
      }); 
     }); 
    </script>

Noch einmal, ich verstehe diese Frage in der Vergangenheit gefragt wurde, aber war auf der Suche nach einer aktualisierten, aktuellen Antwort, wenn möglich. Wenn es wertvolle Ressourcen oder lesenswerte Beiträge gibt, teilen Sie sie bitte mit und ich werde diese Frage entweder als Duplikat markieren oder ganz löschen!

Danke!

Quelle

2017-07-07 gonzzz

+0

Sie immer verwenden können das AntiForgeryToken, um Ihren Anruf sicherer zu machen – Hackerman

Antwort

Verwandte Themen

 Verwandte Themen