Web安全相關（四）：過多發佈（Over Posting）

-Advertisement-

簡介過多發佈的內容相對比較簡單，因此，我只打算把原文中的一些關鍵信息翻譯一下。原文鏈接如下： http://www.asp.net/mvc/overview/getting-started/getting-started-with-ef-using-mvc/implementing-basic-c ...

簡介

　　過多發佈的內容相對比較簡單，因此，我只打算把原文中的一些關鍵信息翻譯一下。原文鏈接如下：

　　http://www.asp.net/mvc/overview/getting-started/getting-started-with-ef-using-mvc/implementing-basic-crud-functionality-with-the-entity-framework-in-asp-net-mvc-application#overpost　　

　　示例代碼下載：

　　https://code.msdn.microsoft.com/ASPNET-MVC-Application-b01a9fe8

分析

　　假設有一個類Student，它用於和資料庫建立映射，而且Student中的一個欄位Secret你不想在頁面上修改它的值。

　　即使界面上沒有Secret對應的欄位，hacker可以通過一些工具（如fildder）或者編寫js去發送請求來修改Secret的值。

　　如上圖，Secret的值會被修改為OverPost。

防止

　　在ASP.NET中，防止過多發佈的方法大概有以下幾種：

　　1. 使用BindAttribute中的Include屬性，把需要映射的欄位加到白名單。

　　public ActionResult Create([Bind(Include = "LastName, FirstMidName, EnrollmentDate")]Student student)

　　2. 使用BindAttribute中的Exclude屬性，把不允許映射的欄位加到黑名單。

　　public ActionResult Create([Bind(Exclude = "Secret")]Student student)

　　3. 使用TryUpdateModel方法，驗證Model的時候，制定需要映射的欄位。

　　if (TryUpdateModel(student, "", new string[] { "LastName", "FirstMidName", "EnrollmentDate" }))
　　{}

　　4. 定義一個新的類作為輸入參數

　   public class StudentForm
      {
         public string LastName { get; set; }

public string FirstMidName { get; set; }

public DateTime EnrollmentDate { get; set; }
}

文章轉載自：http://www.cnblogs.com/Erik_Xu/p/5497501.html

您的分享是我們最大的動力!

-Advertisement-

更多相關文章

字元串命令

name = "my name is kim" print(name.capitalize()) # 首字母大寫 print(name.count("m")) # 計數 print(name.center(50,"-")) # 居中，兩端加橫線 print(name.endswith("m")) #... ...
字元串格式化方法

Python的字元串格式化有兩種方式：%格式符方式和format方式 ...
python3.5模擬登陸

python3.5模擬登陸要求： 1、三次登陸認證； 2、輸入正確 >歡迎； 3、輸入錯誤 >密碼或賬戶有誤； 4、如果想繼續 >選擇y或Y。思路： 1、創建賬戶和密碼； 2、用while迴圈，count計數； 3、輸入正確時，跳出迴圈（break）; 4、擋count=3時，要重新計數（coun ...
4、ABPZero系列教程之拼多多賣家工具集成簡訊發送模塊

ABPZero並沒有手機簡訊發送功能，現在我們來集成一個，為後面註冊、登錄作鋪墊。阿裡雲簡訊服務首先需要在阿裡雲開通簡訊服務，連接地址開通後，在簽名管理中添加一個簽名在模板管理中添加一個模板，如下圖所示最後需要使用阿裡雲提供的.NET發送簡訊類庫，下麵可以直接下載我上傳的類庫，也可以去官方 ...
3、ABPZero系列教程之拼多多賣家工具項目修改及優化

本篇內容雜而簡單，不需要多租戶、不需要多語言、使用MPA(多頁面)、頁面載入速度提升…… 剛登錄系統會看到如下界面，這不是最終想要的效果，以下就一一來修改。不需要多租戶 AbpZeroTemplateConsts.cs代碼修改如下文件路徑：D:\abp version\aspnet-zero-3 ...
htmlagilitypack的簡單使用

1.新建一個web頁。 2.添加引用，引入htmlagilitypack。 3.代碼 HtmlWeb類是一個從網路上獲取一個HTML文檔的類，其提供的功能大多是基於完成此需求出發。 HtmlDocument類對應著一個HTML文檔代碼。它提供了創建文檔，裝載文檔，修改文檔等等一系列功能。 ...
Web安全相關（五）：SQL註入（SQL Injection）

簡介 SQL註入攻擊指的是通過構建特殊的輸入作為參數傳入Web應用程式，而這些輸入大都是SQL語法里的一些組合，通過執行SQL語句進而執行攻擊者所要的操作，其主要原因是程式沒有細緻地過濾用戶輸入的數據，致使非法數據侵入系統。根據相關技術原理，SQL註入可以分為平臺層註入和代碼層註入。前者由不安全的 ...
用MVC5+EF6+WebApi 做一個小功能(三) 項目搭建

一般一個項目開始之前都會有啟動會，需求交底等等，其中會有一個環節，大講特講項目的意義，然後取一個高大上的項目名字，咱這是一個小功能談不上項目，但是名字不能太小氣了。好吧，就叫Trump吧。沒有任何含義，玩嘛！項目分層結構也要在這裡說一下，這次這個小功能仿照DDD的分層模式，一定記住我說的是仿照。因... ...