将控制器限制为特定的请求方法
本文关键字:请求 方法 控制器 | 更新日期: 2023-09-27 18:26:26
从安全角度来看。当控制器完全打开时,最糟糕的情况是什么。我的意思是,你可以使用post、get、put、delete、update、trace等调用这个控制器。
我想您说的是一个没有用[Authorize]属性修饰的控制器。
可能发生的最糟糕的情况取决于你如何看待它。假设你的控制器有一个get方法,它暴露了一些与隐私相关的信息。这意味着任何在互联网上的人都可以获得这些敏感信息。
类似地,如果你有一个post方法来删除一些信息,互联网上的任何人都可以调用delete方法。