如何在 MVC 中忽略查询字符串中的模型绑定

Question

我有表单提交并回发。控制器操作接受这些值作为参数。例如：EditProduct(int ProductID, string Productname)。

Productid 由隐藏字段中的表单提供。我怎样才能确保用户 不会调用此操作并将此产品 ID 和名称作为查询字符串传递，并且模型绑定将绑定值并将产品保存在数据库中？

Answer 1

我发现最安全的方法是检查用户是否有权编辑产品。在操作中执行任何数据库更新之前检查此项，您无需担心用户修改隐藏值。

如果您想强制用户转到您的网页来执行帖子，可以使用 Html.AntiForgeryToekn()。但是，用户仍然可以访问该网站，查看防伪令牌并将其与请求一起传递。

Answer 2

您可以使用服务器上的密钥（使用 HMACSHA512）对产品 ID 进行签名，然后在回发中验证签名。

您可能希望在签名时包含当前日期和/或用户或会话 ID，以防止重放攻击。

Answer 3

您应该在 EditProducts 操作中实施适当的访问控制，以便尝试编辑不同的产品将生成错误。

尝试阻止用户修改查询字符串不会有帮助。

Answer 4

我建议您在模型中添加 rowversion （时间戳）列。这比签名或散列容易得多（如果您可以更改模型）。