Muh*_*hid 4 asp.net-mvc hidden-field asp.net-mvc-3 asp.net-mvc-2
我们一直在使用asp.net mvc进行开发.有时,我们需要在模型上放置一些隐藏的字段,这些字段由模型绑定器推送到模型中(如预期的那样).如今,用户可以使用firebug或其他实用程序轻松调整表单.隐藏字段的目的主要是为了向服务器提供一些信息,并且它们并不意味着要改变.
例如,在我的编辑员工表单中,我可以将EmployeeID放在隐藏字段中,但如果用户更改隐藏字段中的employeeID,则会在数据库中更新错误的员工.在这种情况下,我们如何保持隐藏字段的完整性.
您需要强制执行安全性以确保执行修改的人员具有此权限.我还将id放在URL中,而不是隐藏字段,依赖安全性来确保人们不会修改他们不应该做的事情.如果他们确实有权在手动更改ID时修改项目,那应该不是问题.重要的是要确保一个人不能手动更改id并获取他们不应该访问的内容.强制执行服务器端权限可以解决此问题.您可以使用Roles和AuthorizeAttribute轻松完成此操作.
| 归档时间: |
|
| 查看次数: |
1371 次 |
| 最近记录: |