JSON情報を取得するためにAJAXを使用したとき、機密情報が開示される可能性があるため、 StackOverflowでJSONハイジャックとその他のセキュリティ上の懸念について読んだことがあります。しかし、これらの記事の大部分は何年か前のことであり、回答自体は少し前のものであるのだろうかと思っていました...そして率直に言って私はすべてが比較的紛らわしいと感じました。JSONを取得するためにAJAXを使用する場合のセキュリティ上の懸念
私は、JsonRequestBehavior.AllowGetを利用してJSON情報を正しく取得するためのAJAXを使用しているサンプルスクリプトを提供しています。このスクリプトは、私がそれを求めている情報を返しています。それはSalesOrderの数字とそれ以上のものを返すので、私はそれが "機密情報"を渡しているとは思わない。私はまだセキュリティ上の脆弱性について懸念すべきでしょうか? AllowGetを使用するのは悪い習慣ですか?
はここでスクリプト再び
<script>
$(document).ready(function() {
$('#printBtn').click(function() {
$.ajax({
type: 'GET',
url: '/Home/GetSalesOrderListAsJSON',
success: function(response) {
var stringOfSalesOrders = "";
var totalToMove = 0;
response.forEach(function(str) {
stringOfSalesOrders += str + ",";
totalToMove++;
});
alert("Number being moved: " + totalToMove);
$.ajax({
type: "POST",
url: "/Home/PostResults",
data: { s: numberOfActiveIds},
success: function (results) {
if(results == "Success") {
window.location.href = '/Home/Results';
}
}
});
}
});
});
});
</script>
は、私が理解し、この質問は、過去に頼まれていているが、可能な場合は、更新、現在の答えを探していました。貴重な資料や読書の価値がある場合は、それらを共有してください。私はこの質問を重複としてマークするか、または完全に削除します。
ありがとうございます!
AntiForgeryTokenはあなたの呼び出しをより安全にするために、 – Hackerman