У меня есть следующий метод действия внутри asp.net mvc5, который я определяю как ChildActionOnly: -
[ChildActionOnly]
public ActionResult GetChildRecords(int customerid)
и, на мой взгляд, я называю это следующим образом:
<div>@Html.Action("GetChildRecords", "Customer", new {customerid = Model.CustomerID})</div>
но у меня есть следующие вопросы: -
мне нужно добавить аннотацию [Авторизовать] перед моим дочерним методом действия? или я могу быть уверен, что, поскольку его родитель авторизован, значит, будет авторизован и дочерний метод действия?
могут ли пользователи или хакеры напрямую вызывать ChildActionOnly напрямую?
Могут ли пользователи или хакеры изменить параметры Html.Action?, например, чтобы передать другой пользовательский идентификатор в следующем html: -
@Html.Action("GetChildRecords", "Customer", new {customerid = Model.CustomerID})
?