জসনআরেক্সেস্ট বিহাইভিয়ারকে অ্যালাউট সেট করার সময় কোন 'সংবেদনশীল তথ্য' প্রকাশ করা যেতে পারে

আমি URLযখন returning Json(অন্তর্নির্মিত ব্যবহার করছি MVC JsonResult helper) আমার ব্রাউজারের ঠিকানা বার থেকে একটি নতুন পরীক্ষা করার সময় আমি একই পুরানো ত্রুটি পেয়ে যাচ্ছি :

এই অনুরোধটিকে অবরুদ্ধ করা হয়েছে কারণ সংবেদনশীল তথ্য তৃতীয় পক্ষের ওয়েব সাইটগুলিতে প্রকাশ করা যেতে পারে যখন এটি কোনও তে ব্যবহৃত হয় GET request। অনুমতি দিতে GET requests, সেট JsonRequestBehaviorকরুন AllowGet।

অস্বীকৃতি জানাতে চেয়ে এবং ফিদলারের পোস্টের অনুরোধ করার জন্য আগুন জ্বালানোর পরিবর্তে, আমি ভাবছি ঠিক কী এটি একটি GETঅনুরোধটি প্রকাশ করে যে কোনও POSTঅনুরোধ তা করে না?

বলুন আপনার ওয়েবসাইটে একটি GetUserওয়েব পদ্ধতি রয়েছে:

http://www.example.com/User/GetUser/32

যা একটি জেএসওএন প্রতিক্রিয়া দেয়:

{ "Name": "John Doe" }

যদি এই পদ্ধতিটি কেবলমাত্র POST অনুরোধগুলি গ্রহণ করে, তবে এজেন্টের http://www.example.com/User/GetUser/32পোষ্ট পদ্ধতিটি ব্যবহারের জন্য যদি একটি এজেএক্স অনুরোধ করা হয় তবে সামগ্রীটি কেবল ব্রাউজারে ফিরে আসবে । মনে রাখবেন যে আপনি সিওআরএস প্রয়োগ না করলে ব্রাউজার আপনার কাছে এই অনুরোধটি তৈরি করে এমন অন্যান্য ডোমেনগুলি থেকে ডেটা রক্ষা করবে।

তবে, আপনি যদি জিইটি অনুরোধগুলি মঞ্জুরি দিয়েছিলেন এবং সেই সাথে পোষ্টের পরিবর্তে জিইটির সাথে উপরের অনুরূপ একটি এজেএক্স অনুরোধ করার পাশাপাশি, দূষিত ব্যবহারকারী scriptএইচটিএমএলে একটি ট্যাগ ব্যবহার করে আপনার নিজের সাইটের প্রসঙ্গে আপনার জেএসএনকে অন্তর্ভুক্ত করতে পারে । যেমন www.evil.com:

<script src="http://www.example.com/User/GetUser/32"></script>

এই জাভাস্ক্রিপ্টটি অকার্যকর হওয়া উচিত www.evil.comকারণ আপনার ওয়েব পদ্ধতি দ্বারা প্রত্যাবর্তিত অবজেক্টটি পড়ার কোনও উপায় নেই। তবে, ব্রাউজারগুলির পুরানো সংস্করণগুলিতে বাগের কারণে (যেমন ফায়ারফক্স 3) জাভাস্ক্রিপ্টের প্রোটোটাইপ অবজেক্টগুলিকে পুনরায় সংজ্ঞায়িত করা এবং www.evil.comআপনার পদ্ধতিতে ফিরে আসা আপনার ডেটা পড়া সম্ভব করা সম্ভব । এটি জেএসএন হাইজ্যাকিং নামে পরিচিত।

এটি রোধ করার কয়েকটি পদ্ধতির জন্য এই পোস্টটি দেখুন । তবে এটি আধুনিক ব্রাউজারগুলির পরবর্তী সংস্করণগুলির (ফায়ারফক্স, ক্রোম, আইই) সাথে পরিচিত সমস্যা নয়।

আপনার বিনিময়ে নিম্নলিখিত ব্যবহার করুন:

return this.Json("you result", JsonRequestBehavior.AllowGet);

ডিফল্টরূপে, এএসপি.এনইটি এমভিসি ফ্রেমওয়ার্ক আপনাকে জেএসওএন পেওলডের সাথে জিইটি অনুরোধের জবাব দেওয়ার অনুমতি দেয় না কারণ জেনসন হাইজ্যাকিং নামে পরিচিত একটি প্রক্রিয়াটির মাধ্যমে কোনও দূষিত ব্যবহারকারী পে-লোডে অ্যাক্সেস অর্জন করার সুযোগ রয়েছে। আপনি জিইটি অনুরোধে জেএসএন ব্যবহার করে সংবেদনশীল তথ্য ফিরিয়ে দিতে চান না।

আপনার যদি কোনও জিইটি-র প্রতিক্রিয়াতে জেএসএন পাঠাতে হয় এবং সংবেদনশীল ডেটা প্রকাশ না করে থাকে তবে আপনি স্পষ্টভাবে পদ্ধতিতে JsonRequestBehavior.AllowGetদ্বিতীয় প্যারামিটার হিসাবে পাস করে আচরণের অনুমতি দিতে পারবেন Json।

যেমন

  [HttpGet] //No need to decorate, as by default it will be GET
  public JsonResult GetMyData(){  
    var myResultDataObject = buildMyData(); // build, but keep controller thin
    // delegating buildMyData to builder/Query Builder using CQRS makes easy :)
    return Json(myResultDataObject, JsonRequestBehavior.AllowGet);
  }

JSON Hijackingজিইটি পদ্ধতিতে জসনকে কেন ব্যবহার করবেন না সে সম্পর্কে ফিল হ্যাকের একটি আকর্ষণীয় নিবন্ধ এখানে

আমরা যখন এমভিসি অ্যাপ্লিকেশন থেকে কোনও জসন বস্তুকে ক্লায়েন্টের কাছে ফিরিয়ে দিতে চাই, আমাদের কোনও বিষয় প্রত্যাবর্তন করার সময় আমাদের স্পষ্টতই জসনরেকভেস্টবিভাভিয়ার.অ্যালেজগেট নির্দিষ্ট করা উচিত। ফলস্বরূপ, আমি সমস্যাটি কাটিয়ে উঠতে নীচে হিসাবে জসন ডেটা ফিরিয়ে দিই:

    return Json(yourObjectData, JsonRequestBehavior.AllowGet);

আপনার অবশ্যই জসনরেক্সেস্ট বিহাইভিয়ার ব্যবহার করা উচিত J জসন প্রতিক্রিয়াটির জন্য এইভাবে যান:

return Json(YourObject, JsonRequestBehavior.AllowGet);

জেসনকে ফিরিয়ে দিন ("সাফল্য", জসনরেকভেস্টবিভাভিয়ার.অ্যালজিট)