私が(組み込みのを使用して)URLいるとき、ブラウザのアドレスバーから新しいものをテストするたびに、同じ古いエラーが発生しています。returning JsonMVC JsonResult helper
機密情報がで使用されると、第三者のWebサイトに開示される可能性があるため、このリクエストはブロックされました
GET request。を許可するにはGET requests、に設定JsonRequestBehaviorしAllowGetます。
今回は、承認でうなり声を上げてFiddlerを起動して投稿リクエストを実行するのではなく、GETリクエストが公開POSTしないのがリクエストであるとはどういうことなのでしょうか。
回答:
あなたのウェブサイトにGetUserウェブメソッドがあるとしましょう:
http://www.example.com/User/GetUser/32
JSON応答を返します。
{ "Name": "John Doe" }このメソッドがPOST要求のみを受け入れる場合http://www.example.com/User/GetUser/32、POSTメソッドを使用してAJAX要求が行われた場合にのみ、コンテンツがブラウザーに返されます。CORSを実装していない限り、ブラウザはこのリクエストを自分のドメインに送信している他のドメインからデータを保護します。
ただし、GETリクエストを許可し、POSTではなくGETを使用して上記と同様のAJAXリクエストを作成した場合、悪意のあるユーザーがscriptHTMLのタグを使用して、自分のサイトのコンテキストにJSONを含める可能性があります。例www.evil.com:
<script src="http://www.example.com/User/GetUser/32"></script>www.evil.comWebメソッドによって返されたオブジェクトを読み取る方法がないため、このJavaScriptは役に立たないはずです。ただし、古いバージョンのブラウザー(Firefox 3など)のバグにより、JavaScriptプロトタイプオブジェクトを再定義www.evil.comして、メソッドから返されたデータを読み取ることが可能になっています。これはJSONハイジャックとして知られています。
これを防ぐいくつかの方法については、この投稿を参照してください。ただし、最近のブラウザー(Firefox、Chrome、IE)の新しいバージョンでは、これは既知の問題ではありません。
www.example.com/User/DeleteUser/32。[Authorize]非常に古いブラウザの場合も、ここで説明する攻撃からあなたを救うことはありません-それはユーザー自身がアクセスしているwww.evil.comため、リクエストwww.evil.comはwww.example.com認証Cookieを含みます。
ASP.NET MVCフレームワークでは、悪意のあるユーザーがJSONハイジャックと呼ばれるプロセスを通じてペイロードにアクセスできる可能性があるため、JSONペイロードでGETリクエストに応答することはできません。GETリクエストでJSONを使用して機密情報を返したくない場合。
GETへの応答としてJSONを送信する必要があり、機密データを公開しない場合はJsonRequestBehavior.AllowGet、2番目のパラメーターとしてJson
メソッドに渡すことにより、動作を明示的に許可できます。
といった
[HttpGet] //No need to decorate, as by default it will be GET
public JsonResult GetMyData(){
var myResultDataObject = buildMyData(); // build, but keep controller thin
// delegating buildMyData to builder/Query Builder using CQRS makes easy :)
return Json(myResultDataObject, JsonRequestBehavior.AllowGet);
}JSON HijackingGETメソッドでJsonを使用しない理由についてのPhil Haackの興味深い記事は次のとおりです