安全问题一,关于表单映射model属性传递(mass assignment)方面的疑虑?
引子:
今天(现在零点,实际应该是昨天了)中午看一点ruby on rails方面的东西,准确说,ruby只是刚安装了敲了个puts、def,on rails则看没见到影子了。
说重点,巧了看到mass assignment问题(传递整个model对象属性参数),问题描述地址:http://fsjoy.blog.51cto.com/318484/131840 , 为了避免让大家多点鼠标,将问题的重点描述引用如下:
描述:
-----------------描述 Start----------------------------------------------
Hackers Love Mass Assignment
Your site may be at risk! When using mass assignment, you are giving the user complete control over that model and its associations. See how a hacker might use this vulnerability and learn how to stop it in this episode.如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(10)
编辑很忙啊
红薯不仅很忙,也眼厉啊(这样都及时看到了),敬佩。
回答隐藏问题:OSC的提问关键字就是关联的软件,非软件类的关键字我们的编辑会负责填写:)
对的,你说我想起来了正是看了好像是infoq上github被XX的文章,搜索了下mass assignment。
就是从上次GITHUB 被XX 分析的吧
对于jfinal方面的特别考虑的设计或思想,还请多发几个博文分享一下啊。
没错,就是这样用的 :)
JFinal的方方面面,甚至连每一个方法的设计都是经过仔细思考精心设计的,所以要写这样一篇文章出来需要费很多的时间。不过我现在正起草一篇JFinal设计原则方面的博文,从总体上去描述这种极简主义设计思想。
被keep或remove了,实质就是按需把key/value从map中移除了,需不需要给不在model中的字段赋值看开发者的需要了。
"途径是通过执行SQL",这个我想错了啊。实际上是对不同权限的分配定义不同的接口,比如新增普通用户接口(remove某些属性),高级用户接口(不remove某些属性)。 多谢解答。 期待你的文章。另外问下OSC回复里的@xxx是怎么弄的?