Web安全相关(四):过多发布(Over Posting)
来源:互联网 发布:ubuntu安装wireshark 编辑:程序博客网 时间:2024/06/08 09:36
简介
过多发布的内容相对比较简单,因此,我只打算把原文中的一些关键信息翻译一下。原文链接如下:
http://www.asp.net/mvc/overview/getting-started/getting-started-with-ef-using-mvc/implementing-basic-crud-functionality-with-the-entity-framework-in-asp-net-mvc-application#overpost
示例代码下载:
https://code.msdn.microsoft.com/ASPNET-MVC-Application-b01a9fe8
分析
假设有一个类Student,它用于和数据库建立映射,而且Student中的一个字段Secret你不想在页面上修改它的值。
即使界面上没有Secret对应的字段,hacker可以通过一些工具(如fildder)或者编写js去发送请求来修改Secret的值。
如上图,Secret的值会被修改为OverPost。
防止
在ASP.NET中,防止过多发布的方法大概有以下几种:
1. 使用BindAttribute中的Include属性,把需要映射的字段加到白名单。
public ActionResult Create([Bind(Include = "LastName, FirstMidName, EnrollmentDate")]Student student)
2. 使用BindAttribute中的Exclude
属性,把不允许映射的字段加到黑名单。
public ActionResult Create([Bind(Exclude = "Secret")]Student student)
3. 使用TryUpdateModel方法,验证Model的时候,制定需要映射的字段。
if (TryUpdateModel(student, "", new string[] { "LastName", "FirstMidName", "EnrollmentDate" }))
{
}
4. 定义一个新的类作为输入参数
public class StudentForm
{
public string LastName { get; set; }
public string FirstMidName { get; set; }
public DateTime EnrollmentDate { get; set; }
}
- Web安全相关(四):过多发布(Over Posting)
- 过多提交(Over Posting)
- 发布消息(Posting a Message)
- WEB安全实战(四)关于 Cookie
- web安全相关问题
- Web 安全相关
- Web安全相关收集
- web应用安全相关
- web 服务器安全相关
- web安全相关资料
- web安全相关概念
- web项目发布相关
- web安全相关的资源
- 北极熊扫描器4.0发布,无需过多介绍的国产安全工具
- Web安全相关(五):SQL注入(SQL Injection)
- Web安全相关(三):开放重定向(Open Redirection)
- 阿里云服务器Web项目配置发布全过程(四)
- 用ISA发布安全Web站点
- 使用U盘重装MacOS的简单步骤
- atexit()函数
- NYOJ_1248_海岛争霸【最短路】
- MyBatis--查询缓存--一级缓存依据
- 白话空间统计二十三:回归分析番外-ArcGIS中的OLS(一)
- Web安全相关(四):过多发布(Over Posting)
- Qt+OpenCV实时显示在地图空间中的位置
- Android WebView 与 原生的交互
- pat 1116. Come on! Let's C
- 利用javascript在网页实现八数码启发式A*算法动画
- 去除危险字符的filter(包含转为中文)
- Web安全相关(三):开放重定向(Open Redirection)
- SpringAOP MethodInterceptor方法拦截器
- 南阳理工ACM 题目2 括号配对问题