如何在 ASP.NET MVC 中限制对 [HttpGet] ActionResult 的访问？

Question

想象一下，我有一个像这样的 ActionResult：

[HttpGet]  
public ActionResult Cities(string q)  
{  
  //Return a list of cities that matches parameter
}

如何停止除我的网站之外的所有其他网站使用此功能，就好像它是他们自己的基于 REST 的小服务来获取匹配城市列表一样？检查推荐人是唯一的方法吗？或者还有什么更好的想法吗？

Answer 1

如果您只在自己的项目中使用 REST，为什么要使用 REST？

例如，在 global.asax 中创建一个方法。一切都可以到达它。

另外，你用它来 jquery/json 吗？

在这种情况下， [HttpPost] 和 $.post 可以帮助你。

Answer 2

你对此有多担心？如果有人足够坚定的话，推荐人就可以伪造。

您是否已经有某种形式的用户会话管理——如果有，请使用它，但如果来自另一个站点的访问者也登录到您的站点，它仍然不是万无一失的。

如果不是...通过在原始页面中设置一个 cookie 来实现等效的东西，该 cookie 必须在目标操作上存在（并且有效），且有效期很短。

Answer 3

阻止其他站点访问此操作的唯一方法是使用某种身份验证机制。您可以使用使用 machineKey 加密的 cookie 来确保请求来自同一个域。为此，您需要有一个登录页面，该页面将发出身份验证 cookie。

Answer 4

您对 HttpGet 请求的想法有多依赖？如果它是 HttpPost，您可以使用 AntiForgeryToken 及其属性来确保它来自正确的页面，这基本上是使用 cookie 方法，但一切都很好地为您包装。