隐藏查询字符串参数

Question

我有一个用于创建记录的 GET 操作。由于该页面有些动态，因此我不使用模型来保存数据。我去做一些 OAuth，稍后又返回到创建屏幕。为了将数据传回，我使用查询字符串进行重定向。我在 GET 操作中解析查询字符串，然后显示视图。问题是，查询字符串显示在浏览器中。这会显示伪敏感数据。

由于我仅使用查询字符串来传输数据，因此我想知道是否可以丢弃查询字符串以防止它显示在浏览器上。

否则，有没有办法在不重定向的情况下转到另一个操作？我发现，如果我直接调用“其他”操作方法，它会尝试找到原始操作的视图。我可以显式地将 return View(viewModel) 行更改为 return View("create", viewModel) 但这看起来真的很脏。

Answer 1

您应该考虑更改操作以接受 POST 请求。至少这会阻止敏感信息出现在浏览器中。为了额外的安全性，您的网站应通过 SSL 提供服务。

您可以尝试的另一件事是加密敏感值或整个查询字符串。唯一的问题是，除非您要求用户登录，否则这也将保留在浏览器的历史记录中。

Answer 2

看来您的操作方法尝试做的事情太多了。身份验证/授权是一个单独的问题，不应成为操作方法的一部分。最好将身份验证工作移至操作过滤器中。

创建一个扩展授权属性的类并重写其 OnAuthorization 方法来完成授权工作。

这将释放您的控制器操作方法来接受 POST 请求。