62,047
社区成员
发帖
与我相关
我的任务
分享asp.net core 前台绑定整个模型会有安全问题麽?有些字段不允许用户修改。
假设有个模型后端代码如下:
[BindProperty]
public UserBalance UserBalance {get;set;}
在前台
<input asp-for="UserBalance.可修改的" class="form-control" />
<label asp-for="UserBalance.不希望被修改的_1" class="control-label"></label>
<input type="hidden" asp-for="UserBalance.不希望被修改的_2" />
UserBalance 中还有一个.不希望被修改的_3 没有在前台展示。。
post为了简洁。直接用默认例子的
_context.Attach(UserBalance).State = EntityState.Modified;
_context.SaveChangesAsync();
假设用户直接提交post数据。能修改 不希望被修改的数据麽?
[BindProperty]
public UserBalance UserBalance {get;set;}
在前台
<input asp-for="UserBalance.可修改的" class="form-control" />
<label asp-for="UserBalance.不希望被修改的_1" class="control-label"></label>
<input type="hidden" asp-for="UserBalance.不希望被修改的_2" />
UserBalance 中还有一个.不希望被修改的_3 没有在前台展示。。
post为了简洁。直接用默认例子的
_context.Attach(UserBalance).State = EntityState.Modified;
_context.SaveChangesAsync();
假设用户直接提交post数据。能修改 不希望被修改的数据麽?
...全文
请发表友善的回复…
发表回复
github_36000833 2020-06-18
- 打赏
- 举报
做个玩具,做个演示,你怎么简单怎么做做没有关系。
如果做产品,安全要摆第一。
正怒月神 版主 2020-06-18
- 打赏
- 举报
提交ef的Model只赋值你允许修改的值。
