पर टोकन मैं वर्तमान में एएसपीनेट में एक एमवीसी अनुप्रयोग विकसित कर रहा हूं। मैं रिकॉर्ड की सूची में एक डिलीट लिंक प्रदान करने के लिए AJAX.ActionLink का उपयोग कर रहा हूं, हालांकि यह बहुत असुरक्षित है। मैं इस डाल दिया है:एएसपीनेट एमवीसी एंटीफोर्गेरी एजेक्स
<AcceptVerbs(HttpVerbs.Post)>
समारोह से अधिक हटाने, जो समारोह बस एक यूआरएल द्वारा बुलाया जा रहा है बंद हो जाता है क्या करना है।
<form action="http://foo.com/user/delete/260" method="post">
<input type="submit" />
</form>
यह अभी भी एक पोस्ट perfoming किया जाएगा, लेकिन किसी अन्य स्थान से: हालांकि, अन्य सुरक्षा छेद अभी भी मौजूद है कि कि इस सामग्री के साथ एक बुनियादी html पृष्ठ बनाने के लिए अगर मैं थे।
क्या एंजैक्स एक्शनलिंक के साथ एंटीफोर्गेरी टोकन का उपयोग करना संभव है? यदि हां, तो क्या यह एक सुरक्षित दृष्टिकोण है? क्या मुझे और सुरक्षा सुरक्षा छेद नहीं मिली है?
कि लिंक के मृत – Keith
आप की जरूरत नहीं है formData.push ({नाम: '__RequestVerificationToken', मूल्य: टोकन}); चूंकि serializeArray() फॉर्म में सभी इनपुट लौटाएगा, जिसमें __RequestVerificationToken छिपे हुए फ़ील्ड शामिल हैं। –
हां आपको AJAX पोस्ट पर इसकी आवश्यकता है (वर्तमान एमवीसी 4 और एमएस unobtrusive AJAX = jQuery का उपयोग कर) !!! –