Asp.net mvc 3 MVC3-将敏感信息放入ViewBag
在ViewBag中放置敏感信息(用户ID、连接字符串、我可能不希望其他用户看到的内容)是不是一个坏主意?外部用户能否以任何方式获取该信息 我的想法是不,他们无法做到这一点(我已经尝试过了,并不是说我在LulzSec),但我对其他人的想法很好奇Asp.net mvc 3 MVC3-将敏感信息放入ViewBag,asp.net-mvc-3,Asp.net Mvc 3,在ViewBag中放置敏感信息(用户ID、连接字符串、我可能不希望其他用户看到的内容)是不是一个坏主意?外部用户能否以任何方式获取该信息 我的想法是不,他们无法做到这一点(我已经尝试过了,并不是说我在LulzSec),但我对其他人的想法很好奇 提前谢谢 由于ViewBag仅用于服务器端处理,因此添加了动态功能以模仿更具Ruby或Python风格的方法,我认为,与服务器上存储和使用的所有其他内容相比,您不必更担心安全性。ViewBag基于会话,它仅基于当前请求,因此具有与会话相同的约束,并且在该请
提前谢谢 由于ViewBag仅用于服务器端处理,因此添加了动态功能以模仿更具Ruby或Python风格的方法,我认为,与服务器上存储和使用的所有其他内容相比,您不必更担心安全性。ViewBag基于会话,它仅基于当前请求,因此具有与会话相同的约束,并且在该请求结束时将其删除,因此不-这是不可访问的。即使有人窃取您的会话id并劫持会话,viewdata也会消失 TempData是另一种情况,会话劫持将允许用户劫持另一个会话-因此TempData,但默认情况下,用户仍然无法看到,除非您将此信息发送到跟踪信息中。因此,基本上,如果我可以窃取您的会话,那么您在下一个请求中拥有的任何代码都将为我执行,而不是为它在下一个请求中“等待”的用户执行。但是-他们仍然无法枚举它并自己访问它