ValidateAntiForgeryToken的属性可以帮助防止XSS和随机请求。Authorize属性。我有一个类似的设置,但在我的iOS设备中必须与响应JSON的页面通信。最终我创建了一个ActionFilterAttribute,它验证设备是否1)通过其UDId添加到允许设备列表中,并且2)分配给设备的用户处于活动状态(目前在职)。问题是这迫使我使用POST请求,对我来说这真的不是问题,但对你来说可能是因为你可能允许GET请求。我也可能错了,我认为模型绑定器仍将从GET请求解析对象,并且过滤器可能仍将起作用。
无论如何,这是我的过滤器代码,您可以根据需要进行修改:
[AttributeUsage(AttributeTargets.Method, AllowMultiple = false, Inherited = true)]
internal sealed class VerifyDeviceAttribute : ActionFilterAttribute {
[Inject]
public DeviceProvider DeviceProvider { private get; set; }
public override void OnActionExecuting(
ActionExecutingContext ActionExecutingContext) {
string UDId = ActionExecutingContext.HttpContext.Request.Form["Authorization.UDId"];
if (this.DeviceProvider.Exists(UDId) && !this.DeviceProvider.Get(UDId).User.Active) {
ActionExecutingContext.Controller.ViewData.ModelState.AddModelError("User", "The user is not active");
} else if (!this.DeviceProvider.Exists(UDId)) {
ActionExecutingContext.Controller.ViewData.ModelState.AddModelError("UDId", "The UDId is empty");
};
}
}
ModelState中,如果有任何错误,在操作结果之前我始终检查模型状态,所以确保你始终检查你的ModelState!如果您真的想要保证安全,您可以像对待数据库一样对待返回JSON的控制器,并将它们部署到一个独立的应用程序中,该应用程序位于防火墙后面,而前端边缘服务器位于DMZ中。
客户端可以连接到前端Web服务器,然后调用防火墙后面的JSON资源。客户端无法直接连接到JSON资源。
您可以使用ValidateAntiForgeryToken来防止人们向您的方法发送请求,但是由于您正在客户端处理数据,因此一旦将数据发送到客户端,他们就有许多其他方式来访问您的数据。几乎没有什么(如果有的话)可以防止您允许公开访问的数据或信息以某种方式被挖掘。