考虑以下模型:
public class Contact {
@Required
public String name;
@Valid
public List<Information> informations;
}
public static class Information {
public String securedField;
@Required
public String email;
@Valid
public List<Phone> phones;
public static class Phone {
@Required
@Pattern(value = "[0-9.+]+", message = "A valid phone number is required")
public String number;
}
}
}
我不希望Information securedField受mass assignment vulnerability的影响。所以我决定为Contact Form设置allowedFields数组。
据我所知,play forms are based on Spring DataBinder,处理收集字段是否可行?我不想写像:
以下不起作用:
在这种情况下,我应该扩展现有的Spring DataBinder和Form类并覆盖bind方法吗?
答案 0 :(得分:2)
这是一个可以说是更简单的解决方案。如果POST数据包含任何informations[%d].securedField值,那么如何定义将触发验证失败的额外约束?
import javax.validation.constraints.Null;
public static class Information {
@Null
public String securedField;
...
}
我认为通过这种方式,您可以调用默认的bindFromRequest方法,而不是接受表单字段名称白名单的方法,并且仍然可以防止大规模分配攻击。
这种方法的一个缺点当然是,如果发生协同一致的质量分配攻击,它最终会泄漏内部字段的名称。但是,如果他们有相当平淡,毫无意义的名字,例如securedField(没有冒犯的意图!),我不确定攻击者如何利用这些信息。
如果您想根据当前用户类型允许分配字段,那么bean验证组可能会有所帮助:
import javax.validation.constraints.Null;
public class Contact {
public interface Administrator {}
public interface User {}
...
public class Information {
@Null(groups = User.class)
public String securedField;
...
}
}
...
final Form<Contact> contactForm;
if (currentUser.isAdministrator()) {
contactForm = form(Contact.class, Administrator.class).bindFromRequest();
} else {
contactForm = form(Contact.class, User.class).bindFromRequest();
}
...
答案 1 :(得分:0)
如果我正确理解您的问题,您可以使用以下模式将嵌套集合字段列入白名单:
informations[*].email
informations[*].phones[*].*
即
form.bindFromRequest("name", "informations[*].email", "informations[*].phones[*].*");