er-*_*r-v 9 forms security asp.net-mvc asp.net-mvc-2
如果我的ChangePassword表单包含用户的隐藏ID字段,该怎么办?
BadPerson知道GoodPerson的ID.他用FireBug打开Change Password表单,将他的Id更改为GoodPerson的Id,因此GoodPerson的密码更改.
当然我可以创建一些防止这种情况的服务器逻辑,但我认为应该有一些开箱即用的解决方案,如果隐藏的字段被更改,我会不知道.
提前致谢.
编辑 确定,更改密码是一个糟糕的例子.我在隐藏字段中具有id的任何编辑表单都存在同样的问题.
Kel*_*tex 20
我同意Darin的说法,表单身份验证将解决上面提到的特定问题(更改密码).这个答案是关于确保隐藏字段的值不会改变的更普遍的问题.
对此最好的解决方案是包含另一个隐藏字段,其中包含第一个隐藏字段值的哈希值.这样,如果第一个隐藏字段被更改,您将知道它.生成的HTML看起来像这样:
<input id="productId" name="productId" type="hidden" value="1" />
<input id="productId_sha1" name="productId_sha1" type="hidden" value="vMrgoclb/K+6EQ+6FK9K69V2vkQ=" />
本文将介绍如何执行此操作并包含扩展的源代码,该扩展Html.SecuredHiddenField将为您处理逻辑.
没有任何东西可以让你知道隐藏字段值的值是否已经改变.对于用户更改其密码,这意味着他需要进行身份验证.使用表单身份验证时,当前经过身份验证的用户的ID存储在无法修改的加密cookie中.
这就是说您不应该使用隐藏字段来存储当前连接的用户.只需在ASP.NET中使用内置的FormsAuthentication机制,永远不要将这些信息存储在隐藏的字段中.ASP.NET知道cookie的值未被篡改的方式是它使用配置中指定的machineKey对其进行签名.
处理安全性和身份验证时应遵循一条重要规则:始终使用内置安全机制,永远不要自己动手.