如果检查用户的角色以确定他们是否可以访问某个页面,则仅将此检查放在一个页面中是否安全?if (!Page.IsPostBack) { ... }
?是否有可能client引起Page.IsPostBack == true
独立于 ASP.net;也就是说,客户端 POST 到页面并设置正确的表单字段?如果可能的话,那么我认为最佳实践是检查每个页面加载的安全性,而不仅仅是在Page.IsPostBack == false
.
容易地。它甚至不必通过 HTTP post 进行。
IsPostBack 检查 ViewState 和 Event* 隐藏字段。如果您在查询字符串上提供这些字段,那么 IsPostBack 实际上将返回 true,因此,例如,尝试使用该偷工减料的查询字符串加载图像的客户端页面将导致后面的代码相信它是回发。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)