MVC默认情况下是
DenyGet为了保护您免受涉及JSON请求的非常特定的攻击,从而改善了以下
HTTPGET可能性:在允许发生泄漏之前先考虑允许暴露的含义。
与之相反,之后可能为时已晚。
注意:如果您的操作方法未返回敏感数据,则允许获取是安全的。
从我的Wrox ASP.NET MVC3书中进一步阅读
默认情况下,ASP.NET MVC框架不允许您使用JSON有效负载来响应HTTP
GET请求。如果需要发送JSON以响应GET,则需要使用JsonRequestBehavior.AllowGet作为Json方法的第二个参数来明确允许该行为。但是,恶意用户有可能通过称为JSON劫持的过程来访问JSON负载。您不想在GET请求中使用JSON返回敏感信息。有关更多详细信息,请参见http://haacked.com/archive/2009/06/24/json-
hijacking.aspx/上的 Phil帖子
或此SO帖子。Haack,Phil(2011)。专业ASP.NET MVC 3(从程序员到程序员的近似编程器)(Kindle位置6014-6020)。约克
Kindle版。
相关StackOverflow问题
对于最新的浏览器(从Firefox 21,Chrome 27或IE
10开始),这不再是一个漏洞。
