如何从客户端检测伪造的ID?

时间:2019-02-27 11:34:16

标签: asp.net-mvc entity-framework

假设最终用户可以使用标准CRUD模式在我们的Web应用程序中保存/更新域实体:

  1. 用户使用HTML表单将数据发送回服务器
  2. 模型绑定程序使用用户数据创建新模型
  3. EF使用模型联编程序捕获的ID查找适当的实体
  4. 实体已更新并保存到数据库。

但是可以通过更改HTML表单或网络流量在到达服务器(模型绑定程序)之前伪造适当的ID。因此错误的实体将被修改。

是否存在针对ASP.NET + EF(.Core)的现成解决方案来防止此行为,或者我需要自己跟踪这种情况?

0 个答案:

没有答案
相关问题
最新问题