本文介绍了over-posting漏洞的概念,即用户通过猜测等手段得知后端数据Model的属性名称并提交恶意数据。文章讨论了如何在服务器端进行防御,包括使用特定的方法更新模型以及在Action上设置白名单或黑名单。
over-posting简单的说就是指用户通过猜测等手段得知了后端数据Model的属性名称,在数据更新或添加的时候提交了本不应该允许用户更改的数据库字段,并且在服务器端因为没有进行防御而将恶意提交的数据写入了数据库。
对于这种漏洞的防御可以使用第6节所示的方式进行模型的更新,也可以使用Bind特性在Action上进行白名单(Include)或者黑名单(Exclude)的限制,使用方式如下片段所示。
转载于:https://www.cnblogs.com/mstmdev/p/5471264.html
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
