Mvc De Get Metotunda Koruma Oluşturma Sorusu
-
Hocalar en basit şekilde anlatmaya çalışayım. Csrf açığı ama get metotu olan yerlerde olduğu için antiforgery ile kapatamadım. Mesela download olan linki kopyalayıp başka pc de çalıştırabiliyorum bunu nasıl çözebilirim.
-
Kodu paylaş hocam mümkünse problemini biraz daha detaylı anlatır mısın?
-
Hannibal_King bunu yazdı
Kodu paylaş hocam mümkünse problemini biraz daha detaylı anlatır mısın?
hocam cok fazla controller view vs var. Açıkcası tam problem şu www.site.com/login/login?kisiId=12 olsun url. bunu =13 yapayım artık 12 yerine 13 id li kişinin tüm erişim sayfalarına erişiyorum problem mu?
-
Update , Delete yada Insert işlemlerini genelde Post isteği ile,
Read (yani okuma) işlemini genelde Get isteği ile yapıyoruz.
Burada bir sakınca görünmüyor. Ama bu isteklere müdahale etmek istersen. Bi filtre yazabilirsin. Filters konusuna bak. mesela kişiId 10 ile 50 arasında olsun diyebilirsin. Yada authentication filter koyabilirsin.
-
clogu bunu yazdıHannibal_King bunu yazdı
Kodu paylaş hocam mümkünse problemini biraz daha detaylı anlatır mısın?
hocam cok fazla controller view vs var. Açıkcası tam problem şu www.site.com/login/login?kisiId=12 olsun url. bunu =13 yapayım artık 12 yerine 13 id li kişinin tüm erişim sayfalarına erişiyorum problem mu?
hocam sorun bu ise bunu yetkilendirme ile cozuceksin. zaten url den gitmiyecek o ID vs.
adam konudaki download olan linkte ki cozum farkli olucak soyle ki ilk once bir referrer kontrolu koymalisin : https://stackoverflow.com/questions/1471188/how-do-i-get-the-referrer-url-in-an-asp-net-mvc-action
2. olarak buraya yonlenmeden önce session gibi bir yontem ile adama bir token olusturup bu token'i da url den göndereceksin ve tek kullanımlık olacak.
3 olarak ta sana ID leri int değil guid kullanmanı öneririm.
Benim profilim tarzi sayfalarda url den ID gitmemeli. zaten sistem o kullanıcının ID sini bilip oyle açmalı. ama baska kullanıcnın profiline bakabilmeye yetkisi var mi yi kontrol ettirip o sekilde baskasinin profilini actiracağin zaman ID gonderirsin.