asp.net-mvc – ASP.NET MVC UpdateModel容易受到黑客攻击?

前端之家收集整理的这篇文章主要介绍了asp.net-mvc – ASP.NET MVC UpdateModel容易受到黑客攻击?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我有一个类似日历的ASP.NET MVC应用程序.根据NerdDinner示例,我使用UpdateMethod()更新编辑页面的结果

在我的应用中,某些事件是完全可自定义的,某些事件只能部分自定义.即使用于编辑部分可自定义事件的编辑表单只有这些字段可用,显然有人可以使用缺少的数据创建自己的表单并发布到我的站点.如果他们这样做,有什么可以阻止某人改变任何/所有领域?更糟糕的是,如果他们试图改变id(主键)怎么办?

感觉UpdateModel()容易受到非常基本的黑客攻击.我的恐惧是合法的还是我缺少的东西?

  1. // POST: /MyEvents/Edit/2
  2. [AcceptVerbs(HttpVerbs.Post),Authorize]
  3. public ActionResult Edit(int id,FormCollection formValues)
  4. {
  5. MyEvent myevent = eventRepository.GetMyEvent(id);
  6.  
  7. try
  8. {
  9. UpdateModel(myevent);
  10. eventRepository.Save();
  11. return RedirectToAction("Details",new { id = myevent.MyEventId });
  12. }
  13. catch
  14. {
  15. ModelState.AddRuleViolations(myevent.GetRuleViolations());
  16. return View(new MyEventFormviewmodel(myevent));
  17. }
  18. }

解决方法

你错过了“模型绑定安全性”一节.您应该始终包含可以通过任何用户输入方法更新的属性白名单.

例如,来自NerdDinner:

  1. [AcceptVerbs(HttpVerbs.Post)]
  2. public ActionResult Create( [Bind(Include="Title,Address")] Dinner dinner)
  3. {
  4.  
  5. }

或者,如果您正在调用UpdateModel,则可以创建允许属性的字符串数组,并执行此操作

  1. UpdateModel(myObject,allowedProperties);

您可以自己锁定类,以便只有某些属性也可以更新.

  1. [Bind(Include="MyProp1,MyProp2,MyProp3")]
  2. public partial class MyEntity { }

猜你在找的asp.Net相关文章