如何将ASP.NET用户和路由数据传递给JavaScript?
发布时间:2020-12-16 09:20:41 所属栏目:asp.Net 来源:网络整理
导读:我在ASP.NET中有一些关于用户和路由的数据. 如何在 JavaScript中使用它? 目前,我在_Layout.cshtml文件中有以下行: @{ Html.RenderAction("ContextScript","WebParts"); } ContextScript是一个返回以下局部视图的动作: script id="context-script" var con
我在ASP.NET中有一些关于用户和路由的数据.
如何在 JavaScript中使用它? 目前,我在_Layout.cshtml文件中有以下行: @{ Html.RenderAction("ContextScript","WebParts"); } ContextScript是一个返回以下局部视图的动作: <script id="context-script"> var context = { controller: "@Request.RequestContext.RouteData.Values["controller"]",action: "@Request.RequestContext.RouteData.Values["action"]",area: "@Request.RequestContext.RouteData.Values["area"]",culture: "@Request.RequestContext.RouteData.Values["culture"]",isMobile: @Request.Browser.IsMobileDevice.ToString().ToLower(),rootUrl: "@BaseMulticultureHttpApplication.RootApplicationUrl",isAuthenticated: @User.Identity.IsAuthenticated.ToString().ToLower(),username: "@(User.Identity.IsAuthenticated ? User.Identity.Name : "")",isBankClient: @(User.Identity.IsAuthenticated ? User.Identity.AcquireUser().BankClientID.HasValue.ToString().ToLower() : "false"),iin: "@(User.Identity.IsAuthenticated ? User.Identity.AcquireUser().IIN : "")",fullname: "@(User.Identity.IsAuthenticated ? User.Identity.AcquireUser().FullName : "")" }; </script> 然后,许多捆绑脚本正在读取此上下文. 但是,我坚信有一个更好的选择,因为: >用户和路由信息在全局范围内可用,污染它并使此上下文可用于恶意浏览器插件,XSS注入脚本(谁知道)等. 什么是正确和安全的方法来做到这一点? 解决方法
从两年多的经验来看我自己未回答的问题,我想说使用AJAX可能是最合适的解决方案:
也就是说,RouteData可以按原样注入: <script id="context-script"> var context = { controller: "@Request.RequestContext.RouteData.Values["controller"]",isMobile: @Request.Browser.IsMobileDevice.ToString().ToLower() }; </script> 但是用户数据应该作为API公开: // ASP.NET -> Models public class CurrentUserModel { public CurrentUserModel(...) { // initialize properties } public bool IsAuthenticated { get; } public string Username { get; } // other properties go here } // ASP.NET -> Controllers public class UserController : ApiController { // GET /user/current [HttpGet] [AllowAnonymous] public async Task<CurrentUserModel> Current() { CurrentUserModel model = new CurrentUserModel(...); return Ok(model); } } // Client-side <script> apiClient.user.current().then(u => { // work with user details here }); </script> 这里使用GET操作作为REST风格的示例.需要额外的安全考虑因素.例如,如果您的API托管在同一个域上并使用cookie进行身份验证,那么请考虑应用AntiForgeryToken或切换到POST方法以防止CSRF攻击. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
相关内容
- asp.net-mvc – 使用带有MVC3的plupload
- global-variables – MVC 3 Razor _ViewStart中的公共变量
- C#,.Net自动生成大写字母编码
- asp.net-mvc – ASP.NET MVC:如何处理View中的Null对象?
- 你如何获得asp.net控件的自动生成的name属性?
- 有没有办法为ASP.Net Web应用程序安装程序创建补丁?
- asp.net-mvc-3 – ASP.NET MVC 3和Razor的ASHX处理程序
- ASP.NET智能感知与客户端属性
- ASP.NET的Visual Studio 2008性能分析器问题
- asp.net – IIS Web服务器中的此错误(扩展配置)是什么?
推荐文章
站长推荐
热点阅读