Pourquoi est-JsonRequestBehavior nécessaire?

Pourquoi est Json Request Behavior nécessaire?

Si je veux limiter le HttpGet demande à mon action, je peux décorer l'action avec la [HttpPost] attribut

Exemple:

[HttpPost]
public JsonResult Foo()
{
    return Json("Secrets");
}

//Instead of:
public JsonResult Foo()
{
    return Json("Secrets", JsonRequestBehavior.AllowGet);
}

Pourquoi n'est-ce pas [HttpPost]suffisant?

Pourquoi le cadre des "bugs" nous de la JsonRequestBehavior.AllowGet pour chaque JsonResult que nous avons. Si je veux refuser les requêtes get, je vais ajouter la HttpPost attribut.

  • Très similaire à stackoverflow.com/questions/1625671/... (bien que j'ai trouvé celui-ci à la recherche de mon propre question :))
  • Parce que OBTENIR est censé être idempotent considérant que la POSTE ne l'est pas. En faisant Obtient -> les Postes, vous modifiez la sémantique de l'interface.
  • Parce que votre code aurait l'air trop propre si vous n'avez pas à ajouter crufty args partout.
InformationsquelleAutor gdoron | 2011-12-11
  1. 263

    MVC par défaut DenyGet pour vous protéger contre une attaque spécifique impliquant JSON demandes d'amélioration de la liklihood que les implications de permettre HTTP GET exposition sont prises à l'avance de leur permettre de se produire.

    C'est par opposition à par la suite quand il pourrait être trop tard.

    Remarque: Si votre méthode d'action ne renvoie pas de données sensibles, alors il doit être sûr pour permettre à l'obtenir.

    Lecture de mon Wrox ASP.NET MVC3 livre

    Par défaut, l'ASP.NET framework MVC ne vous permet pas de répondre à
    une demande HTTP GET avec une charge utile JSON. Si vous avez besoin d'envoyer JSON
    réponse à OBTENIR un, vous devez autoriser explicitement le comportement par
    à l'aide de JsonRequestBehavior.AllowGet que le deuxième paramètre pour le Json
    la méthode. Cependant, il ya une chance qu'un utilisateur malveillant peut accéder à
    la charge utile JSON à travers un processus connu sous le nom JSON Détournement. Vous n'avez pas
    souhaitez retourner des informations sensibles à l'aide de JSON dans une requête GET. Pour
    plus de détails, voir Phil poste à
    http://haacked.com/archive/2009/06/24/json-hijacking.aspx/ ou cette SORTE de post.

    Haack, Phil (2011). Professionnel ASP.NET MVC 3 (Wrox Programmeur
    Programmeur) (Kindle Endroits 6014-6020). Wrox. L'Édition Kindle.

    Liées StackOverflow question

    Avec les plus récents navigateurs (à partir de Firefox 21, Chrome 27, ou IE 10), ce n'est plus une vulnérabilité.

    • Mais la question demeure: Pourquoi n'est-ce pas [HttpPost] est-elle suffisante?
    • Je pense que c'est suffisant. Vous avez seulement besoin AllowGet lorsque vous souhaitez que les données à transmettre comme le résultat d'une HttpGet. DenyGet est la valeur par défaut, si vous appelez Json(données) avec 1 paramètre.
    • C'est ma question. Pourquoi le cadre des "bugs" nous de la JsonRequestBehavior.AllowGet pour chaque JsonResult que j'ai. Si je veux nier requête get, je vais ajouter la HttpPost attribut.
    • Je pense que c'est parce que pas beaucoup de gens sont conscients de cet obscur de la vulnérabilité. Vous dire si vous souhaitez refuser la demande, vous le ferez avec [HttpPost]. Cependant, le MVC auteurs sont de vous donner une couche de protection de la boîte contre ce genre d'attaque. Puisque vous avez besoin de faire l'effort pour ajouter le 2ème argument, vous devez prendre le temps de considérer ce que les données que vous exposez, et comment il est sensible.
    • Alors maintenant, nous encombrer notre API et d'ajouter des verbes de la confusion de "Repos" interfaces de passer à côté d'un potentiel CLIENT par la vulnérabilité? Cela semble terrible...mais j'apprécie la discussion.
    • Comment OBTENIR plus vulnérables que les POST?
    • parce que les balises de script qui pointent vers une URL ne pas charger les scripts distants via la POSTE, alors l'attaque ne serait pas réussir, car le serveur n'accepte que les requêtes POST pour que les données.
    • Je pense que le fait que Microsoft protège les programmeurs de cette façon, hors de la boîte est certainement pas une mauvaise chose, mais le moyen ils ont fait, il est plutôt ennuyeux. Le deuxième argument est une assez longue enum membre et cela encombre code. Ils pourraient facilement ont fait une surcharge qui accepte un bool, ou même une autre méthode comme JsonGet(...) par exemple. Les gens seraient encore à se demander pourquoi il est là et apprendre au sujet de la vulnérabilité / risque. Bien sûr, vous pouvez faire de celles-vous sur un BaseController, mais je n'aime pas avoir un BaseController à tous personnellement.
    • Si vous êtes gêné juste sous-classe, il
    • Ironiquement, les navigateurs modernes ne sont pas plus vulnérables à l'JSON détournement question qui a suscité la MVC de l'équipe d'inclure cette sauvegarde. Voir stackoverflow.com/questions/16289894/....

    InformationsquelleAutor danludwig
  2. 53

    Pour le rendre plus facile pour vous-même, vous pouvez également créer un actionfilterattribute

    public class AllowJsonGetAttribute : ActionFilterAttribute
{
    public override void OnResultExecuting(ResultExecutingContext filterContext)
    {
        var jsonResult = filterContext.Result as JsonResult;

        if (jsonResult == null)
            throw new ArgumentException("Action does not return a JsonResult, 
                                                   attribute AllowJsonGet is not allowed");

        jsonResult.JsonRequestBehavior = JsonRequestBehavior.AllowGet;            

        base.OnResultExecuting(filterContext);
    }
}

    et l'utiliser sur votre action

    [AllowJsonGet]
public JsonResult MyAjaxAction()
{
    return Json("this is my test");
}
    • En outre, vous pouvez définir ce que filtre par défaut dans RegisterGlobalFilters: les filtres.Add(new AllowJsonGetAttribute()). Mais alors vous devez supprimer l'Exception puisque le Filtre sera appliqué pour tous les action-méthodes.
    InformationsquelleAutor Arjen de Mooij
  3. 7

    Par défaut Jsonresult "Refuser l'obtenir"

    Suppose que si nous avons méthode comme ci-dessous

      [HttpPost]
 public JsonResult amc(){}

    Par défaut "Refuser l'Obtenir".

    Dans la méthode ci-dessous 

    public JsonResult amc(){}

    Lorsque vous avez besoin de allowget ou utiliser les obtenir ,nous devons utiliser JsonRequestBehavior.AllowGet.

    public JsonResult amc()
{
 return Json(new Modle.JsonResponseData { Status = flag, Message = msg, Html = html }, JsonRequestBehavior.AllowGet);
}
    • Je suis désolé, ça ne répond pas à la question...
    InformationsquelleAutor Deepakmahajan
  4. 5

    L'amélioration de la réponse de @Arjen de Mooij un peu en faisant de la
    AllowJsonGetAttribute applicable pour mvc-contrôleurs (et pas seulement de l'action individuelle-méthodes):

    using System.Web.Mvc;
public sealed class AllowJsonGetAttribute : ActionFilterAttribute, IActionFilter
{
    void IActionFilter.OnActionExecuted(ActionExecutedContext context)
    {
        var jsonResult = context.Result as JsonResult;
        if (jsonResult == null) return;

        jsonResult.JsonRequestBehavior = JsonRequestBehavior.AllowGet;
    }

    public override void OnResultExecuting(ResultExecutingContext filterContext)
    {
        var jsonResult = filterContext.Result as JsonResult;
        if (jsonResult == null) return;

        jsonResult.JsonRequestBehavior = JsonRequestBehavior.AllowGet;
        base.OnResultExecuting(filterContext);
    }
}
    InformationsquelleAutor XDS
  5. 2

    Vous n'en avez pas besoin.

    Si votre action a la HttpPost attribut, alors vous n'avez pas besoin de s'embêter avec réglage de la JsonRequestBehavior et utilisez la surcharge sans elle. Il y a une surcharge pour chaque méthode sans JsonRequestBehavior enum. Ici, ils sont:

    Sans JsonRequestBehavior

    protected internal JsonResult Json(object data);
protected internal JsonResult Json(object data, string contentType);
protected internal virtual JsonResult Json(object data, string contentType, Encoding contentEncoding);

    Avec JsonRequestBehavior

    protected internal JsonResult Json(object data, JsonRequestBehavior behavior);
protected internal JsonResult Json(object data, string contentType, 
                                   JsonRequestBehavior behavior);
protected internal virtual JsonResult Json(object data, string contentType, 
    Encoding contentEncoding, JsonRequestBehavior behavior);
    InformationsquelleAutor CodingYoshi