HttpPost vs HttpGet attributs dans MVC: Pourquoi utiliser HttpPost?

Nous avons donc [HttpPost], qui est un attribut facultatif. Je comprends cette limite à l'appel de sorte qu'il peut seulement être fait par une requête HTTP POST. Ma question est pourquoi voudrais-je faire cela?

InformationsquelleAutor Shane Courtrille | 2011-03-16
  1. 55

    Imaginer la suite:

    [HttpGet]
public ActionResult Edit(int id) { ... }

[HttpPost]
public ActionResult Edit(MyEditViewModel myEditViewModel) { ... }

    Cela ne serait pas possible, à moins que le ActionMethodSelectorAttributes HttpGet et HttpPost lorsqu'il est utilisé.
    Cela rend très simple pour créer une vue d'édition. Tous les liens d'action, juste des points de la droite vers le contrôleur. Si le modèle de vue valide faux, vous venez de revenir directement à l'affichage modifier à nouveau.

    Je vais être courageux et dire que c'est la meilleure pratique quand il s'agit de CRUDish choses dans ASP.NET MVC.

    EDIT:

    @Premier plan a demandé ce qui était nécessaire en vue d'accomplir la poste. C'est simplement un formulaire avec la méthode POST.

    À l'aide d'un Rasoir, cela ressemblerait à quelque chose comme ça.

    @using (Html.BeginForm())
{
    <input type="text" placeholder="Enter email" name="email" />
    <input type="submit" value="Sign Up" />
}

    Ce qui rend le code HTML suivant:

    <form action="/MyController/Edit" method="post">    
    <input type="text" name="email" placeholder="Enter email">
    <input type="submit" value="Sign Up">
</form>

    Lorsque le formulaire est soumis, il va effectuer une requête Http Post pour le contrôleur. De l'action avec la HttpPost attribut va traiter la requête.

    • Salut Mikael, j'aime bien votre réponse, mais je vois une petite correction. HttpGet et HttpPost ne sont pas ActionFilters mais ils sont ActionSelectors. Comme son nom l', ActionSelectors sont différents de ActionFilters. Si vous consultez le code source à la fois HttpGet et HttpPost, ils dérive de ActionMethodSelectorAttribute qui est directement dérivée à partir de l'Attribut. Pouvez-vous remplacer le mot ActionFilters en ActionSelectors?
    • Merci pour le heads up, Marque!
    • Ce qui devrait être écrit sur la vue à poster sur cette action?
    • J'ai mis à jour la réponse avec un exemple.
    InformationsquelleAutor Mikael Östberg
  2. 9

    Son de sorte que vous pouvez avoir de multiples Actions qui utilisent le même nom, vous pouvez utiliser le HttpPost attribut pour marquer la méthode est prise en charge sur une requête Post comme ceci:

        public ActionResult ContactUs()
    {
        return View();
    }

    [HttpPost]
    public ActionResult ContactUs(ContactUsModel model)
    {
        //do something with model

        return View();
    }
    • Il serait peut-être une bonne idée de noter que les requêtes POST ont le potentiel de modifier l'état de la base de données ou de modifier les données internes du site web, d'une certaine façon. C'est la raison pour laquelle les robots d'indexation ne jamais suivre de telles URLs.
    • Je ne pense pas qu'aujourd'hui, les robots fout de modifier la base de données ou de modifier les données internes. Si les robots peuvent trouver leur chemin dans un poste de gestionnaire de requêtes avec succès, c'est-à insuffient
    • - la validation côté serveur, je dirais. Pourquoi les robots de ne pas suivre activement les requêtes post est parce qu'il y a nombre infini de demande de permutations et dans la plupart des cas, ils sont protégés à l'aide de Captcha ou comme.
    InformationsquelleAutor Chris Almond
  3. 9

    Autant que les meilleures pratiques pour HttpGet et HttpPost, il est de bonne pratique dans tout développement web à utiliser HttpPost pour créer, mettre à jour et les Suppressions (modification de données). Post sont bons, parce qu'ils exigent la soumission d'un formulaire, ce qui empêche les utilisateurs de cliquer sur empoisonné liens(par exemple, [ https://www.mysite.com/Delete/1%5D ) dans les e-mails, réseaux sociaux, etc. et de modification des données par inadvertance. Si vous êtes fondamentalement juste la Lecture des données HttpGet fonctionne très bien.

    Voir OWASP pour de plus amples considérations sur la sécurité et le pourquoi de la validation jeton augmente la sécurité.

    InformationsquelleAutor Paul Syfrett
  4. 2

    C'est principalement de sorte que vous pouvez avoir deux Actions avec le même nom,
    celui qui est utilisé sur les GETs et peut-être affiche un formulaire pour la saisie par l'utilisateur et l'autre étant utilisé sur les Postes lorsque l'utilisateur soumet le formulaire affiché par les OBTENIR. Si les Actions ne sont pas différenciés de cette façon, une erreur se produit en raison d'être dans l'impossibilité de résoudre l'Action vise à répondre à la demande.

    InformationsquelleAutor Adam Price