Don’t use Delete Links because they create Security Holes
مطالب مشابه
- اشتراکها
5 دلیل برای استفاده از NoSQLاشتراکها
چرا من از Entity Framework استفاده نمی کنم؟اشتراکها
4 مشخصهی توسعه دهندههای بیتجربهاشتراکها
معرفی یک Object Mapper سریع و سادهاشتراکها
بایدها و نبایدهای نمایش بصری اطلاعاتاشتراکها
چگونه یک کد آنالیزر Roslyn بنویسیم؟اشتراکها
ایجاد ، حدف ، ویرایش اطلاعات با استفاده از Asp.net mvcاشتراکها
بررسی مزایا و معایب Soft Deleteاشتراکها
یک راهنمای کامل MVC 6 Tag Helpersنظرات اشتراکها
مقاله ای از Stephen Walther (عدم استفاده از لینک Delete در ویووها در MVC)
- تذکر این نکته در دوره MVC سایت جلسه دهم :
یک نکته امنیتی:
همیشه متدهای Delete خود را به HttpPost محدود کنید. به این علت که ممکن است در طی مثلا یک ایمیل، آدرسی به شکل http://localhost/blog/delete/10 برای شما ارسال شود و همچنین سشن کار با قسمت مدیریتی بلاگ شما نیز در همان حال فعال باشد. URL ایی به این شکل، در حالت پیش فرض، محدودیت اجرایی HttpGet را دارد. بنابراین احتمال اجرا شدن آن بالا است. اما زمانیکه متد delete را به HttpPost محدود کردید، دیگر این نوع حملات جواب نخواهند داد و حتما نیاز خواهد بود تا اطلاعاتی به سرور Post شود و نه یک Get ساده (مثلا کلیک بر روی یک لینک معمولی)، کار حذف را انجام دهد.