asp.net - Html.Action を使用して [ChildActionOnly] アクションメソッドを呼び出す場合のセキュリティ上の問題

翻译自：https://stackoverflow.com/questions/28941428 2015-03-09T11:56:15.360

459 次

私は ChildActionOnly として定義する asp.net mvc5 内に次のアクションメソッドを持っています:-

[ChildActionOnly]
public ActionResult GetChildRecords(int customerid)

私の見解では、次のように呼んでいます：-

<div>@Html.Action("GetChildRecords", "Customer", new {customerid = Model.CustomerID})</div>

しかし、私は次の質問があります:-

子アクションメソッドの前に [Authorize] アノテーションを追加する必要がありますか? または、その親が承認されているため、子アクションメソッドも承認されると確信できますか?
ユーザーまたはハッカーが ChildActionOnly を直接呼び出すことはできますか?
ユーザーまたはハッカーが Html.Action パラメーターを変更できますか?たとえば、以下の html で異なる customerid を渡すために:-

@Html.Action("GetChildRecords", "Customer", new {customerid = Model.CustomerID})

asp.net - Html.Action を使用して [ChildActionOnly] アクション メソッドを呼び出す場合のセキュリティ上の問題