コントローラへのASP.NET MVCコールのセキュリティ

Question

簡単な質問;

コントローラのユーザとと関数getを呼び出すことができます。

mydomain.com/user/getとそこにある機能にアクセスしてください。

私のアプリケーションだけがそれを呼び出せるようにするベストプラクティスは何ですか？ [ChildActionOnly]属性でアクションメソッドを飾る

おかげ

Answer 1

は、コントローラのアクションメソッドは、直接URLを入力するユーザーが起動することができないことを保証します。 EG

[ChildActionOnly] 
     public ActionResult _CantNavigateHere() 
     { 
      return View(); 
     } 

Answer 2

MVC3とAjaxでAntiForgeryTokenを使用できます。

これは私がそれを行う方法です。

@Html.AntiForgeryToken() 

そして、あなたのAjax呼び出しのようにポスト変数にこの値が含まれます：

、どこでも、あなたのビューに出力（これはもちろん、確実なものではなく、別のセキュリティレイヤを追加します）

$.post("/Controller/Action/", 
       { 'id': var_id, '__RequestVerificationToken': $("input[name='__RequestVerificationToken']").val() }, 
       function (data) { /* handle request */ }); 

そして、あなたのコントローラーで：この他に

[HttpPost] 
    [ValidateAntiForgeryToken] 
    public ActionResult Action(int id) {..} 

、あなたものチェックを行うことができますあなたのドメインと一致しないホストを拒否します。これはなりすましにすることもできますが、もう1つのレイヤーに追加するだけです。