1
私は、管理コンテンツへのアクセスが許可されていないユーザーを単にリダイレクトするカスタム[AuthenticationFilter]を持っています。POSTアクションをフィルタリングする理由はありますか?
私はまた、ファイルのアップロードを処理するための
[HttpPost]
public ActionResult Index(HttpPostedFileBase file) {}
を持って、
[AuthenticationFilter]
public ActionResult Index() {}
にフィルタを適用します。しかし。ここに属性が必要ですか?
私の腸の本能は私にはありません。 uploadButtonは最初の方法で読み込みがブロックされるため、ページにファイルをPOSTする方法はありません。
私が想像することができる唯一のセキュリティ上の懸念事項は、クロスサイトAJAXの投稿ですが、これは可能ではないはずです。イントラネットサイトであるため、少なくとも可能性は低いです。
[AuthenticationFilter]をファイルハンドラに適用する理由はありますか?
Javascriptを使用してコントロールを非表示にしているとはどういう意味でしょうか。しかし、この場合、私はコントロールをクライアントにまったく送信しません。サーバー側は停止しています。だから私はあなたが "完全なコントロール"を意味するかどうかは分かりません。 –
エンドユーザーは独自のアップロードボタンを作成できます。彼らはあなたのサービスを正確に模倣して投稿する独自のフォームを作成することができます。 Curlを使用して、ブラウザから送信されたリクエストと区別できないリクエストを使用して、プログラマチックにサイトに直接投稿することができます。彼らは自分のマシンを離れてあなたのサーバーに行くことを完全に制御します。 –