ASP.NET MVC不良实践:控制器操作不限于在Asp.Net MVc中进行POST

时间:2014-05-08 09:22:12

标签: asp.net asp.net-mvc http fortify

我用Fortify SCA扫描了我的源代码

我在检查Fortify报告时遇到 ASP.NET MVC不良做法:控制器操作不受POST(API滥用,结构)错误

Fortify发现了说

的高级错误 
Recommendations:

The following controller action accepts only the POST verb because it has the
[HttpPost]     attribute:


[HttpPost]
public ActionResult UpdateWidget(Model model) 
{
// ... controller logic
}

但我看了那行代码。它包含

[HtttpPost]

属性。

这是假阳性吗?

1 个答案:

答案 0 :(得分:1)

强化SCA本身给出了两个对比语句。

ASP.NET MVC不良做法:控制器操作不受POST限制(API滥用,结构化)

建议:

The following controller action accepts only the POST verb because it has the
[HttpPost]     attribute:

如果要使用UpdateWidget方法中的Model更新模型或数据库,请添加更安全的HttpPost操作属性。如果您确定已添加HttpPost操作属性,请忽略Fortify错误

相关问题
最新问题