C# MVC-使用HTTP谓词篡改绕过身份验证
我已经使用MVC3构建了一个web应用程序,并从ITSec部门获得了AppScan结果。我被告知执行以下建议 将应用程序配置为仅允许所需的HTTP方法 在ASP.NET授权中:在允许所需动词的白名单后使用C# MVC-使用HTTP谓词篡改绕过身份验证,c#,asp.net,asp.net-mvc,asp.net-mvc-3,web-config,C#,Asp.net,Asp.net Mvc,Asp.net Mvc 3,Web Config,我已经使用MVC3构建了一个web应用程序,并从ITSec部门获得了AppScan结果。我被告知执行以下建议 将应用程序配置为仅允许所需的HTTP方法 在ASP.NET授权中:在允许所需动词的白名单后使用 这里我的问题是,如何为我的应用程序识别所需的HTTP方法。 如何对HTTP动词的白名单和黑名单进行分类。白名单中应该列出哪些方法 我可以从Web上看到下面的方法列表 头部•获取•发布•放置•删除•跟踪•选项•连接 GET和POST应该在白名单中。这两个是基本的方法。您可以在这里阅读每个方法的
这里我的问题是,如何为我的应用程序识别所需的HTTP方法。
如何对HTTP动词的白名单和黑名单进行分类。白名单中应该列出哪些方法
我可以从Web上看到下面的方法列表
- 头部•获取•发布•放置•删除•跟踪•选项•连接
System.Net.HTTP.HttpMethod
(),但我不确定您是否可以在所有请求中使用这些谓词(请考虑查看此:).hi@Ask_所以我在IBM应用程序扫描中也遇到了相同的错误,我的应用程序在MVC 5中,您有相同的解决方案吗?