asp.net core 前台绑定整个模型会有安全问题麽?有些字段不允许用户修改。
假设有个模型后端代码如下:
[BindProperty]
public UserBalance UserBalance {get;set;}
在前台
<input asp-for="UserBalance.可修改的" class="form-control" />
<label asp-for="UserBalance.不希望被修改的_1" class="control-label"></label>
<input type="hidden" asp-for="UserBalance.不希望被修改的_2" />
UserBalance 中还有一个.不希望被修改的_3 没有在前台展示。。
post为了简洁。直接用默认例子的
_context.Attach(UserBalance).State = EntityState.Modified;
_context.SaveChangesAsync();
假设用户直接提交post数据。能修改 不希望被修改的数据麽?