- c - 在位数组中找到第一个零
- linux - Unix 显示有关匹配两种模式之一的文件的信息
- 正则表达式替换多个文件
- linux - 隐藏来自 xtrace 的命令
在 MVC 应用程序中,我需要存储一些用户数据以验证他是否拥有访问某些页面的所有权限(比如他是某个对象的所有者等)。我尝试在我的一项服务中添加一个私有(private)静态字段来处理用户数据,并添加一个静态的、只获取的属性来访问私有(private)字段。如果私有(private)字段为空,则此属性从数据库中提取用户数据。显然这是个坏主意,因为 MVC 应用程序不仅仅在请求期间存在,所以一旦设置了私有(private)静态字段,它就会无限期地保留在那里。
在寻找上述解决方案的替代方案时,我想到了 ThreadStatic 属性。这似乎工作正常(至少乍一看)。但后来我阅读了更多关于该属性的信息,发现一个请求实际上可以由多个线程处理(在我的情况下这不是特别的问题)并且一些线程可以在多个请求中重用(极端但显然很少见的情况) ).现在这听起来像是一个真正的问题,这意味着我曾经从数据库中提取的用户数据可能会泄露给另一个请求,并且一个用户可以根据另一个用户的数据进行验证。
所以我搜索了另一种选择并找到了 CallContext。这次我还注意到人们警告说它可能不会像人们期望的那样工作。在 ThreadStatic 的情况下,人们解释了使用它的风险是什么,但在 CallContext 的情况下则没有那么多。
那么,存储在 CallContext 中的数据是否会从一个请求泄漏到另一个请求(就像 ThreadStatic 字段可能发生的那样),或者可能发生的最坏情况是在请求中间丢失数据(我可以忍受)?
最佳答案
In an MVC app I need to store some user data to verify if he has all the rights to access some pages (like he is an owner of an object etc.).
您要找的是HttpContext.Session
, 作为 @Ron's answer建议。您需要启用 session 支持。
OTOH,HttpContext.Items
的生命周期仅限于给定的 HTTP 请求,它不会在请求之间流动。一些 HTTP 协议(protocol)文本状态数据(例如 cookie)将通过 HttpContext.Current.Request
流动。
Can data stored in CallContext leak between requests?
如果您仍然想知道逻辑调用上下文数据 (CallContext.LogicalGetData
/CallContext.LogicalSetData
) 是否在不同的 HTTP 请求之间流动,答案将是 没有。如果是这样,那将是一个严重的安全漏洞,因为不同的请求可能来自不同的用户。
不过,它确实在同一请求内的线程之间流动,因此就此而言,它可以用作 ThreadLocal
的替代品。不过,请谨慎使用,因为存在写时复制行为,请查看 Stephen Cleary 的博客 for more details .如果您使用异步 Controller 方法和async
/await
(或ContinueWith
等),您可能只需要它。
关于c# - 存储在 CallContext 中的数据会在请求之间泄漏吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/22931946/
我正在尝试从该网站抓取历史天气数据: http://www.hko.gov.hk/cis/dailyExtract_uc.htm?y=2016&m=1 在阅读了 AJAX 调用后,我发现请求数据的正确
我有两个 postman 请求 x,y,它们命中了两个不同的休息 api X,Y 中的端点。 x 会给我一个身份验证 token ,这是发出 y 请求所必需的。如何在请求 y 中发出请求 x ?也就是
我使用请求库通过 API 与其他服务器进行通信。但现在我需要同时发送多个(10 个或更多)POST 请求,并且只有在所有响应都正确的情况下才能进一步前进。通常语法看起来有点像这样: var optio
背景:当用户单击按钮时,其类会在class1和class2之间切换,并且此数据是通过 AJAX 提交。为了确认此数据已保存,服务器使用 js 进行响应(更新按钮 HTML)。 问题:如果用户点击按钮的
我正在将 Node.js 中的请求库用于 Google 的文本转语音 API。我想打印出正在发送的请求,如 python example . 这是我的代码: const request = requi
我经常使用requests。最近我发现还有一个 requests2 和即将到来的 requests3 虽然有一个 page其中简要提到了 requests3 中的内容,我一直无法确定 requests
我正在尝试将图像发送到我的 API,然后从中获取结果。例如,我使用发送一个 bmp 图像文件 file = {"img": open("img.bmp)} r = requests.post(url,
我发现 Google Cloud 确保移出其物理环境的任何请求都经过强制加密,请参阅(虚拟机到虚拟机标题下的第 6 页)this link Azure(和 AWS)是否遵循类似的程序?如果有人能给我指
我有一个 ASP.NET MVC 应用程序,我正在尝试在 javascript 函数中使用 jQuery 来创建一系列操作。该函数由三部分组成。 我想做的是:如果满足某些条件,那么我想执行同步 jQu
我找不到如何执行 get http 请求,所以我希望你们能帮助我。 这个想法是从外部url(例如 https://api.twitter.com/1.1/search/tweets.json?q=tw
我的应用只需要使用“READ_SMS”权限。我的问题是,在 Android 6.0 上,当我需要使用新的权限系统时,它会要求用户“发送和查看短信”。 这是我的代码: ActivityCompat.re
我的前端代码: { this.searchInput = input; }}/> 搜索 // search method: const baseUrl = 'http://localho
我有一个由 AJAX 和 C# 应用程序使用的 WCF 服务, 我需要通过 HTTP 请求 header 发送一个参数。 在我的 AJAX 上,我添加了以下内容并且它有效: $.ajax({
我正在尝试了解如何使用 promises 编写代码。请检查我的代码。这样对吗? Node.js + 请求: request(url, function (error, response, body)
如果失败(除 HTTP 200 之外的任何响应代码),我需要重试发送 GWT RPC 请求。原因很复杂,所以我不会详细说明。到目前为止,我在同一个地方处理所有请求响应,如下所示: // We
当用户单击提交按钮时,我希望提交表单。然而,就在这种情况发生之前,我希望弹出一个窗口并让他们填写一些数据。一旦他们执行此操作并关闭该子窗口,我希望发出 POST 请求。 这可能吗?如果可能的话如何?我
像 Facebook 这样的网站使用“延迟”加载 js。当你必须考虑到我有一台服务器,流量很大时。 我很感兴趣 - 哪一个更好? 当我一次执行更多 HTTP 请求时 - 页面加载速度较慢(由于限制(一
Servlet 容器是否创建 ServletRequest 和 Response 对象或 Http 对象?如果是ServletRequest,谁在调用服务方法之前将其转换为HttpServletReq
这是维基百科文章的摘录: In contrast to the GET request method where only a URL and headers are sent to the serv
我有一个循环,每次循环时都会发出 HTTP post 请求。 for(let i = 1; i console.log("succes at " + i), error => con
我是一名优秀的程序员,十分优秀!