保护Web方法

Question

假设我在c＃MVC中有一个方法来发送带有ajax的电子邮件，例如：

public class mailController : Controller {

        SmtpClient mailserver = new SmtpClient("smtp.foo.com");

        public string send(string from, string to, string subject = "", string body = "", string cc = "", string bcc = "") {
            MailMessage message = new MailMessage(from, to, subject, body);
            if (cc.Length > 0) {
                message.CC.Add(cc);
            }
            if (bcc.Length > 0) {
                message.Bcc.Add(bcc);
            }
            mailserver.Send(message);
            return "MessageSent";
        }
    }

有什么办法可以让它更安全吗？ 我的意思是，现在任何人都可以在地址栏中输入相关信息。 http://www.foo.com/mail/send?from=etc如果我想用它来表单提交，我无法用密码保护它，或者我必须在javascript中使用它，这很容易找到。 我考虑过设置一个cookie并将其用作身份验证，但这只是到目前为止。 是否有保护ajax方法的标准程序？

Answer 1

您需要在服务器上验证参数是否符合您的要求。

Answer 2

您需要实现安全会话令牌，以防止未经授权的用户（没有有效会话的用户）发送电子邮件。 这与任何其他跨站点请求伪造（CSRF）攻击向量基本没有区别。 如果您需要任何其他信息，只需使用Google的“CSRF保护ASP.NET”或类似内容，以获得更具体的示例，了解如何执行此操作。

Answer 3

您的要求听起来互相排斥。

如果您确实希望将其公开，但您不希望它被滥用，那么也许您可以提供某种限制，只允许来自特定IP地址的x个请求。

您还可以在HTMLform中使用mailto：来提示客户端发送电子邮件。

Answer 4

首先，您可以随时存储访问您的控制器的IP，如果相同的IP尝试以您定义的特定频率发送邮件，您可以阻止它阻止它...第二，您可以在邮件中生成随机数将发送给控制器的页面 - >这将允许您验证邮件是从您的站点发送的，而不是从第三方发送的