J'ai récemment travaillé avec les services Web jQuery et * .asmx, et j'essaie d'être conscient de la sécurité. Je pense qu'il serait possible de soumettre une requête AJAX - même lorsqu'elle est déconnectée - à une ressource qui ne devrait être accessible que lorsqu'elle est connectée.Postback Security
Ainsi, j'inclus des clés spéciales et des hachages avec chacune de ces requêtes AJAX afin de valider l'état de l'utilisateur avant d'effectuer certaines actions côté serveur.
CEPENDANT
Je suppose toujours que postbacks étaient en sécurité à cet égard. Que .NET lancerait une erreur s'il recevait une requête qui avait été falsifiée.
Est-ce une hypothèse sûre? Ou devrais-je valider TOUTES les demandes, qu'elles soient reçues via AJAX ou un HTTP POST non-AJAX? Je suppose que les deux sont techniquement des POST HTTP, mais l'AJAX ne soumet que ce que vous avez explicitement passé, alors qu'un ASP.NET normal inclut toutes les valeurs viewstate. Est-ce exact?
Merci beaucoup,
Michael