我想知道在 asp.net mvc 环境中使用具有 action 属性的表单可能存在的风险?
例如;创建 View 在 html 标记上具有
请您参考如下方法:
您无法隐藏您的行为,但您可以使用 ASP.NET 的内置防伪 token 在这方面完成基本的安全策略。 https://msdn.microsoft.com/en-us/library/dd470175(v=vs.118).aspx
在您的表单中,使用内置的 HTML Helper 放置一个标记:
@Html.AntiForgeryToken()
然后在你的 Action 上,放置一个相应的属性:
[ValidateAntiForgeryToken]
[HttpPost]
[Authorize]
public ActionResult Edit()
现在您不应该能够针对您的 Controller 操作模拟 POST 请求。
...正如 Sedat 在下面正确指出的那样:绝对且显然,是的,如果您不希望它们由普通大众。