В последнее время я работаю с веб-сервисами jQuery и * .asmx, и я стараюсь при этом заботиться о безопасности.
Я полагаю, что было бы возможно отправить запрос AJAX - даже после выхода из системы - к ресурсу, который должен быть доступен только при входе в систему.
Таким образом, я включаю специальные ключи и хэши в каждый из этих запросов AJAX, чтобы проверить состояние пользователя перед выполнением определенных действий на стороне сервера.
ОДНАКО
Я всегда предполагал, что Постбэки в этом отношении безопасны. Этот .NET выдаст ошибку, если получит запрос, подделанный.
Это безопасное предположение? Или я должен проверить ВСЕ запросы, независимо от того, получены ли они через AJAX или не-AJAX HTTP POST?
Я полагаю, что оба являются технически HTTP POST, но AJAX передает только то, что вы явно передаете, тогда как обычный ASP.NET включает все значения viewstate. Это правильно?