asp.net-mvc – 仅允许来自同一网络服务器的请求的操作

发布时间：2020-12-16 07:12:56 所属栏目：asp.Net 来源：网络整理

导读：我有一个MVC控制器,它暴露了一个Initialise Action.托管在同一IIS上的其他虚拟Web应用程序将需要访问此Action. 出于安全原因,只需要授予来自同一Web服务器(托管MVC应用程序)的请求访问此Iniliase方法的权限. 有人可以帮助如何实现这一目标吗？我们无法使用lo

我有一个MVC控制器,它暴露了一个Initialise Action.托管在同一IIS上的其他虚拟Web应用程序将需要访问此Action.

出于安全原因,只需要授予来自同一Web服务器(托管MVC应用程序)的请求访问此Iniliase方法的权限.

有人可以帮助如何实现这一目标吗？我们无法使用localhost进行验证,因为此应用程序将托管在不支持locahost请求的Azure中.

解决方法

我的答案是限制服务器端请求.

调用Initialise的网站需要向http://www.example.com/controller/Initialise请求,而不是http：// localhost / controller / Initialise(用您的域和控制器替换www.example.com和控制器)当然的名字).

应在控制器操作中检查HttpRequest.IsLocal：

if (!Request.IsLocal)
{
    thrown new SecurityException();
}

这将拒绝任何非来自本地主机的请求.此方法假定调用站点和请求的站点共享相同的IP地址 – 文档声明这应该有效：

The IsLocal property returns true if the IP address of the request originator is 127.0.0.1 or if the IP address of the request is the same as the server’s IP address.

为了限制客户端请求Google“csrf缓解”.

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!