如何正確確保用戶未篡改查詢字符串值或操作url值?例如,您的CommentController上可能有一個帶有CommentID的刪除註釋操作。動作url可能類似於/ Comments/Delete/3刪除ID爲3的評論。Asp.net MVC中的QueryString值的安全性
現在顯然你不希望任何人能夠刪除評論3.通常在評論的所有者或管理員許可這樣做。我見過這種安全措施的執行方式不同,想知道你們中的一些人是如何做到的。
您是否通過多次數據庫調用來檢索評論並檢查評論的作者是否與調用刪除操作的用戶相匹配?
您是否將CommentID和UserID向下傳遞給執行刪除操作的存儲過程,並執行刪除,其中UserID和CommentID等於傳入的值?
加密查詢字符串值是否更好?
那你怎麼建議我修改/刪除的東西然後?請記住我正在使用Asp.net MVC – Vyrotek 2008-10-29 03:02:45
您應該發送到您的控制器方法來調用刪除 - 並在執行刪除操作之前驗證請求憑據(cookie /用戶名/密碼/無論)。請參閱@ Schotime的帖子。 – 2008-12-19 00:30:11