Является ли BindingHelperExtensions.updatefrom / Controller.UpdateModel небезопасным? - PullRequest
1 голос
/ 23 октября 2008

Я читал об UpdateFrom, который используется для обновления бизнес-объекта из запроса. Является ли он чрезвычайно восприимчивым к коду XSS и публикуемым дополнительным параметрам формы?

1 Ответ

3 голосов
/ 23 октября 2008

UpdateFrom был удален в одном из старых превью MVC. Замена - Controller.UpdateModel.

Что касается безопасности, должно быть выполнено одно из следующих действий:

  1. Ваш тип (тип объекта, который вы передаете в UpdateModel) не имеет полей, которые пользователь не может обновить, или
  2. Вы передаете список ключей, представляющих имена свойств, которые пользователь может обновить, в UpdateModel, используя предоставленную перегрузку.

Если один из них верен, то при использовании UpdateModel особой угрозы безопасности не возникает. Разумеется, все остальные рекомендации по безопасности все еще применяются.

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.
...