BindingHelperExtensions.updatefrom / Controller.UpdateModel是不安全的?

时间:2008-10-23 13:23:03

标签: asp.net-mvc

我一直在阅读有关UpdateFrom的内容,用于从请求中更新业务对象。它是否容易受到XSS代码和额外表格参数的影响?

1 个答案:

答案 0 :(得分:3)

在一个较旧的MVC预览中删除了UpdateFrom。替换是Controller.UpdateModel。

关于安全性,下列之一应该是真的:

  1. 您的类型(传递给UpdateModel的对象类型)没有用户无法更新的字段,或
  2. 使用提供的重载,将表示用户可以更新的属性名称的密钥列表传递给UpdateModel。

    3. 如果其中一个属实,则使用UpdateModel不会有特殊的安全风险。当然,所有其他安全最佳实践仍然适用。

相关问题
最新问题