asp.net-mvc – 比ASP.NET MVC中的隐藏表单字段更安全吗?
发布时间:2020-12-16 00:46:15 所属栏目:asp.Net 来源:网络整理
导读:在ASP.NET MVC(默认路由)中,我想使用这样一个URL来返回带有表单的视图来编辑客户: /Customers/Edit/5 我需要使用CustomerId = 5,但我不想允许客户更改它。现在我使用以下命令隐藏id: %= Html.Hidden("CustomerId") % 这完成了我想要的,但我的印象是隐藏
|
在ASP.NET MVC(默认路由)中,我想使用这样一个URL来返回带有表单的视图来编辑客户:
/Customers/Edit/5 我需要使用CustomerId = 5,但我不想允许客户更改它。现在我使用以下命令隐藏id: <%= Html.Hidden("CustomerId") %>
这完成了我想要的,但我的印象是隐藏的表单变量不安全,可以由最终用户操纵。 那么,允许客户编辑他们的信息而不是他们的ID的最佳方法是什么? 解决方法
在显示相应视图之前,请检查控制器操作(/ Customers / Edit)中的权限。请注意,这里的问题根本不在于隐藏的字段:用户可以在浏览器中输入“
http://yoursite.com/Customers/Edit/10”。所以你必须检查你的动作,无论用户是否真的被允许编辑请求的客户的细节,无论他如何调用这个动作。
(编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
相关内容
推荐文章
站长推荐
- asp.net-core – 什么应该是WEB API Action Meth
- 是否有WPF的母版页(如asp.net)的概念?
- asp.net – jquery将一个onclick事件添加到href链
- asp.net-mvc-4 – ASP.NET优化 – 捆绑
- .net – 我们为什么不在视图中使用域对象?
- Asp.net MVC可见/隐藏
- asp.net – RenderBody和RenderSection之间的区别
- asp.net-mvc – 如何在RegularExpression中忽略大
- 一个支持 CodeFirst/DbFirst/ModelFirst 的数据库
- asp.net-mvc – MVC:传入字典的模型项是X类型,但
热点阅读