我有一个自定义[AuthenticationFilter]
,它只是重定向未被授权访问管理内容的用户。是否有任何理由过滤POST操作?
我过滤器应用到
[AuthenticationFilter]
public ActionResult Index() {}
不过,我也有
[HttpPost]
public ActionResult Index(HttpPostedFileBase file) {}
用于处理文件上传。我在这里需要属性吗?
我的直觉告诉我没有。没有办法将文件发布到页面,因为uploadButton
被第一种方法阻止加载。
我能想象的唯一的其他安全问题是跨站点AJAX帖子,但这不应该是可能的,或者至少是不太可能的,因为它是一个Intranet站点。
那么,是否有任何理由将[AuthenticationFilter]
应用于文件处理程序?
我可以看到你的意思,如果我说,使用Javascript来隐藏控件。但是,在这种情况下,我根本不把控制权交给客户。它停止在服务器端。所以我不确定你的意思是“完全控制”。 –
最终用户可以创建自己的上传按钮。他们可以创建自己的表格,模仿您的具体情况并发布到您的服务中。他们可以使用Curl以编程方式直接发布到您的网站,但请求与浏览器发送的请求无法区分。他们可以完全控制离开他们机器并进入服务器的内容。 –