Я хочу создавать сообщения только из внутреннего процесса с сервера, а затем исходящие на клиентов и из-за гибкости SignalR, я беспокоюсь, что XSS может легко отправить сообщение «myhub. addMessage "и отправить мусор, который я не хочу транслировать. Например, у меня есть 50 человек на странице, которые прослушивают сообщение от SignalR Hub. У них нет явного способа отправить сообщение через графический интерфейс, однако полузадача может легко взломать некоторый скрипт и начать отправлять сообщения, чтобы все могли видеть.Как получить широковещательное представление только для чтения в SignalR
Его вид, как чат, другими словами, но вы хотите, чтобы люди не отправляли сообщения. Вы только хотите, чтобы они услышали. Имеет смысл?
Если вы взяли signalr из уравнения и только использовали запросы webservice, что бы вы сделали? – davidfowl
@dfowler Вы создали это, и знаете, что вы можете использовать XSS для «addMessage», это неправильно или нет? Как вы мешаете кому-либо выполнять «addMessage» через JavaScript, просто создавая источник просмотра, захватывая его, локально добавляя базовый тег, а затем помещаете там какой-нибудь скрипт? Я надеялся, что в классе есть какой-то флаг C# или параметр, который сделает его доступным только для чтения. –
Вы, вроде бы, проигнорировали мой вопрос. – davidfowl