为什么我们要在asp.net MVC中发布一篇确认删除的帖子?
下面是Scott Hanselman的Professional ASP.NET MVC 2的注释++ 你可能会问,我们为什么要通过 努力创造一个内在的世界 我们的删除确认屏幕?为什么? 不仅仅是使用标准的超链接 链接到执行以下操作的操作方法: 实际删除操作?原因是 因为我们要小心防守 针对网络爬虫和搜索 引擎发现我们的URL和 无意中导致数据丢失 当他们跟随链接时被删除。 考虑基于HTTP GET的URL 可安全进入/爬行,以及 他们不应该跟随 HTTP-POST。一个好的规则是 确定你总是把它放在 或后面的数据修改操作 HTTP-POST请求为什么我们要在asp.net MVC中发布一篇确认删除的帖子?,asp.net,asp.net-mvc,security,asp.net-mvc-2,Asp.net,Asp.net Mvc,Security,Asp.net Mvc 2,下面是Scott Hanselman的Professional ASP.NET MVC 2的注释++ 你可能会问,我们为什么要通过 努力创造一个内在的世界 我们的删除确认屏幕?为什么? 不仅仅是使用标准的超链接 链接到执行以下操作的操作方法: 实际删除操作?原因是 因为我们要小心防守 针对网络爬虫和搜索 引擎发现我们的URL和 无意中导致数据丢失 当他们跟随链接时被删除。 考虑基于HTTP GET的URL 可安全进入/爬行,以及 他们不应该跟随 HTTP-POST。一个好的规则是 确定你总是把它
如果网络爬虫和搜索引擎无法访问包含删除按钮的页面,那么使用标准超链接链接到执行实际删除操作的操作方法是否安全?是的,如果搜索引擎无法访问它,则安全。但要确保包含某种确认或撤销功能。链接很容易被误点击。一个好的经验法则是GET不应该更改数据。如果要更改某些数据,请使用POST 这就是ScottHa etc使用表单提交删除的原因。如果它不适用于你的应用程序,你可以在需要时使用GET
或者,您可以在用户单击链接时使用JavaScript提交表单。我会添加一些内容,即使管理员页面受密码保护,也可以通过一些本地安装的web加速器软件“单击”删除链接。所以使用POST方法更安全。@xport:POST执行一个操作需要2次,而GET只需要1次。在POST中,它将第一次与服务器联系以进行身份验证操作,然后执行此操作。在GET情况下,它只调用不进行身份验证的操作。所以在通常情况下,POST比GET花费更多的时间来执行操作(2次往返)。如果您有一些操作,如删除、更新、添加,。。。您必须使用POST执行它,如果某些操作仅从数据库中选择数据,则只能获取。这是我在GET和POST中的理解。如果您使用GET请求对数据库进行任何更改,那么您很可能会在某个时候受到跨站点请求伪造攻击。你正在读的那本书更多地讨论了这一点,我在我的博客上有一些关于这一点的帖子。这是我最近发现的一个极其普遍的弱点;与SQL注入一样频繁,而且更易于利用。有一个很好的理由不使用GET进行更改数据的操作。这不仅仅是为了语义的纯洁 提交删除后提供撤消将很困难,对吗?与其从数据库中实际删除记录,不如将“已删除”等字段设置为true。仅显示“已删除”标志为false的项目。您可以再次将此标志设置为false以撤消。@Michael,如果不删除行,并为数据库中的所有表定义一个“IsDeleted”列,则每当父表行被标记为已删除时,我将执行更多工作,例如执行已删除标记级联规则。请记住链接上的javascript确认(
onclick=“return confirm(“你确定吗?”)”