Erreur d'autorisation Json
Cette erreur apparaît de manière aléatoire dans notre application MVC. Parfois, en faisant exactement la même chose, ce ne sera pas toujours le cas. Est-ce que quelqu'un sait si cela a à voir avec quelque chose qui pourrait être une solution simple, ou si c'est quelque chose de commun que beaucoup d'entre vous ont vu?
System.InvalidOperationException: This request has been blocked because sensitive information could be disclosed to third party web sites when this is used in a GET request. To allow GET requests, set JsonRequestBehavior to AllowGet.
at System.Web.Mvc.JsonResult.ExecuteResult(ControllerContext context)
at System.Web.Mvc.ControllerActionInvoker.InvokeActionResult(ControllerContext controllerContext, ActionResult actionResult)
at System.Web.Mvc.ControllerActionInvoker.<>c__DisplayClass14.b__11()
at System.Web.Mvc.ControllerActionInvoker.InvokeActionResultFilter(IResultFilter filter, ResultExecutingContext preContext, Func`1 continuation)
at System.Web.Mvc.ControllerActionInvoker.<>c__DisplayClass14.<>c__DisplayClass16.b__13()
at System.Web.Mvc.ControllerActionInvoker.InvokeActionResultFilter(IResultFilter filter, ResultExecutingContext preContext, Func`1 continuation)
at System.Web.Mvc.ControllerActionInvoker.<>c__DisplayClass14.<>c__DisplayClass16.b__13()
at System.Web.Mvc.ControllerActionInvoker.InvokeActionResultFilter(IResultFilter filter, ResultExecutingContext preContext, Func`1 continuation)
at System.Web.Mvc.ControllerActionInvoker.<>c__DisplayClass14.<>c__DisplayClass16.b__13()
at System.Web.Mvc.ControllerActionInvoker.InvokeActionResultWithFilters(ControllerContext controllerContext, IList`1 filters, ActionResult actionResult)
at System.Web.Mvc.ControllerActionInvoker.InvokeAction(ControllerContext controllerContext, String actionName)
at System.Web.Mvc.Controller.ExecuteCore()
at System.Web.Mvc.ControllerBase.Execute(RequestContext requestContext)
at System.Web.Mvc.ControllerBase.System.Web.Mvc.IController.Execute(RequestContext requestContext)
at System.Web.Mvc.MvcHandler.<>c__DisplayClass8.b__4()
at System.Web.Mvc.Async.AsyncResultWrapper.<>c__DisplayClass1.b__0()
at System.Web.Mvc.Async.AsyncResultWrapper.<>c__DisplayClass8`1.b__7(IAsyncResult _)
at System.Web.Mvc.Async.AsyncResultWrapper.WrappedAsyncResult`1.End()
at System.Web.Mvc.MvcHandler.EndProcessRequest(IAsyncResult asyncResult)
at System.Web.Mvc.MvcHandler.System.Web.IHttpAsyncHandler.EndProcessRequest(IAsyncResult result)
at System.Web.HttpApplication.CallHandlerExecutionStep.System.Web.HttpApplication.IExecutionStep.Execute()
at System.Web.HttpApplication.ExecuteStep(IExecutionStep step, Boolean& completedSynchronously)
La réponse à votre question était dans la trace de la pile. "JsonRequestBehavior à AllowGet"
Utilisez-le donc dans votre contrôleur comme:
return Json(data, JsonRequestBehavior.AllowGet)
Vous devez lire http://haacked.com/archive/2009/06/24/json-hijacking.aspx/ avant de contourner ces contrôles de sécurité.
Si vous exposez uniquement vos données JSON en réponse à un Http POST, vous n'êtes pas vulnérable à cette attaque.
Vous pouvez simplement annoter votre action JSON avec [HttpPost] et faire dans le client quelque chose comme
$.post('/blag/JSON', function (data) {
//do something with my json data object here
});
Il semble que vous appeliez parfois l'action du contrôleur par HTTP GET. Pour pouvoir renvoyer des résultats JSON, vous devez utiliser du code comme
return Json(data, JsonRequestBehavior.AllowGet);