个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
我使用 EF 代码优先方法来定义我的数据库结构。目前,我将 EF 实体类直接传递到 MVC 应用程序中的一些 View 中。这使得填充和保存 View 变得容易,因为我可以直接让一个存储库给我填充的 EF 类,如果我的 Controller 在回发中收到一个 EF 实体类,我可以(如果验证正常)直接通过到存储库以保存它。但是,这是否存在潜在的安全风险?如果实体类上有我不想修改的属性,客户端是否可以将这些属性作为回发的一部分提交回来并无论如何修改它们?例如,假设我有一个 View 来编辑我将此 EF 模型传递给的用户:
public class User {
[Required]
public string Firstname { get; set; }
[Required]
public string Surname { get; set; }
public DateTime DOB { get; set; }
public bool IsDisabled { get; set; }
}
Firstname ,
Surname , 和
DOB作为可编辑的表单字段,但我不希望用户能够设置
IsDisabled并禁用他们的帐户。预防这种情况的最佳方法是什么?或许只有在认为用户可以设置由该域模型持久保存的每个属性都可以的情况下,或者仅在使用该域模型来显示事物而不是将事物保存回数据存储?
最佳答案
是的,将实体直接传递给您的 View 可能很危险。从技术上讲,问题在于当您直接建模绑定(bind)到实体时。
是的,你提出的情况很有可能发生。更糟糕。假设您传递了一个 User 对象,那么攻击者可以提交一个 post 值来执行诸如将 IsAdmin 设置为 true 之类的操作,或者更改分配给用户的角色。
当然,这一切都取决于用户是否知道(或能够猜测)您的数据结构。这可能并不像看起来那么困难,因为我们在生成的 HTML 中经常有提供提示的迹象。
这个问题有两种解决方案:
1)使用 View 模型。 View 模型仅包含 View 中允许的数据。您还可以控制将哪些数据复制回实体模型。
2)您可以使用[Bind]属性以指定排除和包含以将各种属性列入白名单和黑名单。
我更喜欢使用第一种方法,因为忘记将某些内容列入白名单或列入黑名单要困难得多(特别是如果您稍后更改某些内容并忘记在绑定(bind)它的任何地方更新列表)。我也觉得[Bind]作弊并鼓励草率的设计。
关于asp.net-mvc - View 直接使用领域模型有危险吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/12887663/
25
4
0
可不可以命名为MVVM模型?因为View通过查看模型数据。 View 是否应该只与 ViewModelData 交互?我确实在某处读到正确的 MVVM 模型应该在 ViewModel 而不是 Mode
我正在阅读有关设计模式的文章,虽然作者们都认为观察者模式很酷,但在设计方面,每个人都在谈论 MVC。 我有点困惑,MVC 图不是循环的,代码流具有闭合拓扑不是很自然吗?为什么没有人谈论这种模式: mo
我正在开发一个 Sticky Notes 项目并在 WPF 中做 UI,显然将 MVVM 作为我的架构设计选择。我正在重新考虑我的模型、 View 和 View 模型应该是什么。 我有一个名为 Not
不要混淆:How can I convert List to Hashtable in C#? 我有一个模型列表,我想将它们组织成一个哈希表,以枚举作为键,模型列表(具有枚举的值)作为值。 publi
我只是花了一些时间阅读这些术语(我不经常使用它们,因为我们没有任何 MVC 应用程序,我通常只说“模型”),但我觉得根据上下文,这些意味着不同的东西: 实体 这很简单,它是数据库中的一行: 2) In
我想知道你们中是否有人知道一些很好的教程来解释大型应用程序的 MVVM。我发现关于 MVVM 的每个教程都只是基础知识解释(如何实现模型、 View 模型和 View ),但我对在应用程序页面之间传递
我想realm.delete() 我的 Realm 中除了一个模型之外的所有模型。有什么办法可以不列出所有这些吗? 也许是一种遍历 Realm 中当前存在的所有类型的方法? 最佳答案 您可以从您的 R
我正在尝试使用 alias 指令模拟一个 Eloquent 模型,如下所示: $transporter = \Mockery::mock('alias:' . Transporter::class)
我正在使用 stargazer 创建我的 plm 汇总表。 library(plm) library(pglm) data("Unions", package = "pglm") anb1 <- pl
我读了几篇与 ASP.NET 分层架构相关的文章和问题,但是读得太多后我有点困惑。 UI 层是在 ASP.NET MVC 中开发的,对于数据访问,我在项目中使用 EF。 我想通过一个例子来描述我的问题
我收到此消息错误: Inceptionv3.mlmodel: unable to read document 我下载了最新版本的 xcode。 9.4 版测试版 (9Q1004a) 最佳答案 您没有
(同样,一个 MVC 验证问题。我知道,我知道......) 我想使用 AutoMapper ( http://automapper.codeplex.com/ ) 来验证我的创建 View 中不在我
需要澄清一件事,现在我正在处理一个流程,其中我有两个 View 模型,一个依赖于另一个 View 模型,为了处理这件事,我尝试在我的基本 Activity 中注入(inject)两个 View 模型,
如果 WPF MVVM 应该没有代码,为什么在使用 ICommand 时,是否需要在 Window.xaml.cs 代码中实例化 DataContext 属性?我已经并排观看并关注了 YouTube
当我第一次听说 ASP.NET MVC 时,我认为这意味着应用程序由三个部分组成:模型、 View 和 Controller 。 然后我读到 NerdDinner并学习了存储库和 View 模型的方法
Platform : ubuntu 16.04 Python version: 3.5.2 mmdnn version : 0.2.5 Source framework with version :
我正在学习本教程:https://www.raywenderlich.com/160728/object-oriented-programming-swift ...并尝试对代码进行一些个人调整,看看
我正试图围绕 AngularJS。我很喜欢它,但一个核心概念似乎在逃避我——模型在哪里? 例如,如果我有一个显示多个交易列表的应用程序。一个列表向服务器查询匹配某些条件的分页事务集,另一个列表使用不同
我在为某个应用程序找出最佳方法时遇到了麻烦。我不太习惯取代旧 TLA(三层架构)的新架构,所以这就是我的来源。 在为我的应用程序(POCO 类,对吧??)设计模型和 DAL 时,我有以下疑问: 我的模
我有两个模型:Person 和 Department。每个人可以在一个部门工作。部门可以由多人管理。我不确定如何在 Django 模型中构建这种关系。 这是我不成功的尝试之一 [models.py]:
我是一名优秀的程序员,十分优秀!