我的应用程序中有一个维护控制器用于编辑数据库。我已经使用授权属性限制了控件,但是我应该做的更多吗?这有什么风险?例如,我应该为此应用程序或新应用程序或远程应用程序创建单独的程序集吗?
答案 0 :(得分:1)
授权是非常安全的...我不会对它进行机密的政府机密......但是我没有看到任何好的方法来绕过它,除了cookie偷窃和MIIM攻击,但这些都会出现在所有非ssl站点,无论托管技术如何。
答案 1 :(得分:1)
我要做的一件事就是在视图模型上使用白/黑列表属性,这样就不会有人用一个说出id的对象调用你的Controller Delete Action。
所以您的控制器代码可能看起来像;
public ActionResult Create( [Bind(Exclude="ID")] MyModel model)
{
}
因此,您要排除MyModel对象中的ID字段。