有很多做法避免这种问题的发生,常用的方法是读取context.Request.ServerVariables["HTTP_REFERER"]的值,看看是不是为 context.Request.ServerVariables[" http_host "] 的值。如果是的话说明在同一个域内。就不存在是从本地修改的页面代码中提交过来的。但是此种方法防护能力较弱。HTTP_REFERER的值可以伪造。更加严格的做法是采取验证票,或者判断session值等方式。










本文转自cnn23711151CTO博客,原文链接:http://blog.51cto.com/cnn237111/844811 ,如需转载请自行联系原作者