提醒：本页面将不再更新、维护或者支持，文章、评论所叙述内容存在时效性，涉及技术细节或者软件使用方面不保证能够完全有效可操作，请谨慎参考！

最近在研究ASP.NET的MVC3，在asp.net的系列讲解中了解到一个有趣的安全问题，Stephen Walther已经在其 《ASP.NET MVC Tip #46 – Don’t use Delete Links because they create Security Holes》 文章中做了相关描述，基本的意思就是我们常常在设计信息系统时往往会很随意的将Delete记录这个操作设计成一个链接，通过这个链接以GET的方式传入要删除记录的ID，然后服务器处理脚本或程序就会删除我们所指定ID的记录，这听起来没有什么问题，但是有一种情况是存在的。

假设删除记录的URL是http://wangye.org/Sample/Delete/23，其中Delete后面的23表示要删除记录的ID，好，目前的状态是只要我们不去访问这个URL，那么这条ID为23的记录就是安全的，这时骇客想要删除这条记录，他们往往会发给你一封邮件，内容的源代码如下：

<img src="http://wangye.org/Sample/Delete/23" />

当你打开这封邮件时，虽然http://wangye.org/Sample/Delete/23不是一个图片，但是你的计算机仍然会Request这个地址，那么造成的后果是什么呢，ID=23的这条记录被删除了，很显然这个不是我们所期望的，但是骇客们往往就这样做到了，不过做到这个还要有两个前提：1.知道操作删除的URL地址和格式。2.获得访问权限。目前大多数删除操作是在访问权限控制之下的，但是如果我们在登录系统并获得访问权限后再打开那封问题邮件，那么这道防线就形同虚设了。

Stephen Walther提出的解决方案就是避免使用GET方式进行删除操作，当然通常情况下HTML只能支持GET和POST操作，所以很自然的就想到采用POST来取代GET进行相关操作，是的这不失为一个好的办法，不过HTTP除了POST和GET还有另外的操作方式，比如PUT和DELETE等，在HTTP中GET、POST、PUT、DELETE就对应着对这个资源的查、改、增、删4个操作，当然要实现DELETE操作还是要借助于JavaScript脚本，比如Ajax删除。在MVC中的Controller里的处理删除的方法前面加上[AcceptVerbs(HttpVerbs.Delete)]标识，表示仅接受DELETE操作。

然后前端脚本可以像下面这样写：

<script src="../../Scripts/MicrosoftAjax.js" type="text/javascript"></script>
<script type="text/javascript">
  function deleteRecord(recordId)
  {
    // Perform delete
    var action = "/Home/Delete/" + recordId;
       
    var request = new Sys.Net.WebRequest();
    request.set_httpVerb("DELETE");
    request.set_url(action);
    request.add_completed(deleteCompleted);
    request.invoke();
  }
 
  function deleteCompleted()
  {
    // Reload page
    window.location.reload();
  }
</script>
<a onclick="deleteRecord(23)" href="javascript:void(0)">Delete 23</a>

通过上面的脚本就可以利用DELETE方法就可以安全的向服务器发出删除ID=23这条记录了。当然如果你不希望采用JavaScript方式的话那只有通过表单的POST形式进行删除了，至于ID，可以放在type=hidden的input控件里。