Atak Over-Posting - Parameter Binding w ASP.NET MVC

Przekazywanie dodatkowych, niepożądanych parametrów


W przypadku, gdy przekazujemy obiekt, jako argument w żądaniu POST przekazywane są tylko potrzebne przez nas dane, jednak istnieje możliwość podania większej ilości parametrów których nie chcemy. Z pomocą przychodzi parameter binding, który pozwala na określenie, jakiego parametru nie chcemy używać nawet, gdy będzie przekazany z formularza. Określamy, który parametr ma być ignorowany. Przykładowo przekazujemy obiekt typu kurs, który zawiera pola: skąd, dokąd, kiedy, oraz czy_zaakceptowany. Pole o akceptacji może zmieniać tylko admin, dlatego należy je zignorować w metodzie wykorzystywanej przez użytkownika. Jako parametr wykorzystywany jest model kurs, czyli wszystkie pola łącznie z polem czy_zaakceptowany. Aby zignorować dane pole należy użyć atrybutu Bind - Exclude.

Przykład użycia:

[HttpPost]
[Bind(Exclude="czy_zaakceptowany")]
public ActionResult Dodaj(Kurs kurs)
{
}




Komentarze facebook (polub nasz profil na FB aby je zobaczyć):
Ukryj menu