Razor Pages-如何防止过多发布攻击(Over Posting)

最新推荐文章于 2023-04-15 08:05:32 发布
最新推荐文章于 2023-04-15 08:05:32 发布
阅读量372 收藏
点赞数
分类专栏: C# asp.net core
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mikefbi/article/details/105157692
版权

过多发布攻击(Over Posting):
黑客可使用 Fiddler 等工具或通过编写某个 JavaScript 来提交表单中不存在的字段值, 达到修改数据库的目的。
如何防范过多发布:

  1. 在表单Post请求处理方法中使用TryUpdateModelAsync 来更新数据库:
public async Task<IActionResult> OnPostAsync()
{
    var emptyStudent = new Student();
    if (await TryUpdateModelAsync<Student>(
        emptyStudent,
        "student",   // Prefix for form value.
        s => s.FirstMidName, s => s.LastName, s => s.EnrollmentDate))
    {
        _context.Students.Add(emptyStudent);
        await _context.SaveChangesAsync();
        return RedirectToPage("./Index");
    }
    return Page();}

代码创建一个空的Student 对象,然后使用发布的表单域更新 Student 对象的属性, 以此避免过多发布攻击。
TryUpdateModelAsync 方法:

  • 仅更新指定的属性 (s => s.FirstMidName, s => s.LastName, s => s.EnrollmentDate)。
  • 查找带有“student”前缀的表单值。 例如 Student.FirstMidName。 该自变量不区分大小写。
  • 使用模型绑定系统将字符串中的表单值转换为 Student 模型中的类型。 例如,EnrollmentDate 必须转换为 DateTime。
  1. 采用专用的视图模型:
  • 应用程序模型通常称为域模型。 域模型通常包含数据库中对应实体所需的全部属性。
  • 视图模型只包含它所用于的 UI所需的属性
[BindProperty]
public StudentVM StudentVM { get; set; }
public async Task<IActionResult> OnPostAsync()
{
    if (!ModelState.IsValid)
    {
        return Page();
    }
    var entry = _context.Add(new Student());
    entry.CurrentValues.SetValues(StudentVM);
    await _context.SaveChangesAsync();
    return RedirectToPage("./Index");
}

SetValues 方法通过从视图模型对象读取值来设置域模型对象的值。 SetValues 使用属性名称匹配。 视图模型类型不需要与模型类型相关,它只需要具有匹配的属性。

相对来说, 第1种方法更简单灵活

想换辆新车
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C# Web API防止过度发布
m0_44982764的博客
12-22 366
为了安全考虑,使用EFcore进行数据交互时,使用模型的子集,通常称为数据传输对象(DTO)、输入模型或视图模型,而不是直接使用模型类。 DTO用途: 防止过度发布。 隐藏客户端不应查看的属性。 省略一些属性以缩减有效负载大小。 平展包含嵌套对象的对象图。 对客户端而言,平展的对象图可能更方便。 例如TodoItem模型类,包含秘密字段 namespace TodoApi.Models { public class TodoItem { public long
Web安全相关(四):过多发布(Over Posting)
weixin_30500105的博客
05-20 86
简介   过多发布的内容相对比较简单,因此,我只打算把原文中的一些关键信息翻译一下。原文链接如下:   http://www.asp.net/mvc/overview/getting-started/getting-started-with-ef-using-mvc/implementing-basic-crud-functionality-with-the-entity-framework-...
Web安全相关(四):过多发布Over Posting
weixin_33708432的博客
01-13 110
简介   过多发布的内容相对比较简单,因此,我只打算把原文中的一些关键信息翻译一下。原文链接如下:   http://www.asp.net/mvc/overview/getting-started/getting-started-with-ef-using-mvc/implementing-basic-crud-functionality-with-the-entity-framework-...
对于over-posting的防御
weixin_30679823的博客
05-08 109
  over-posting简单的说就是指用户通过猜测等手段得知了后端数据Model的属性名称,在数据更新或添加的时候提交了本不应该允许用户更改的数据库字段,并且在服务器端因为没有进行防御而将恶意提交的数据写入了数据库。   对于这种漏洞的防御可以使用第6节所示的方式进行模型的更新,也可以使用Bind特性在Action上进行白名单(Include)或者黑名单(Exclude)的限制,使用方...
.NET Core && EF Core更新部分字段
day day up
10-12 3364
EF Core更新部分字段
Razor-Pages-Tutorial
04-19
Razor-Pages-Tutorial”这个教程可能涵盖了Razor Pages的基础知识,包括如何创建和组织页面,理解Razor语法,处理用户请求,进行数据绑定,以及利用布局和部分视图提高代码复用性。通过学习这个教程,开发者能够更...
【在线示例源码】FineUICore-Examples-RazorPages-v8.2.1.zip
05-10
【在线示例源码】FineUICore-Examples-RazorPages-v8.2.1.zip是一个包含FineUICore框架的Razor Pages应用实例代码的压缩包,版本为V8.2.1。这个资源主要面向软件开发人员,尤其是那些在.NET环境中使用ASP.NET Core...
空项目FineUICore-EmptyProject-RazorPages-v8.2.1.zip
05-10
FineUICore空项目,将获取的如下三个文件拷贝到项目 bin 目录: -> FineUICore.dll -> FineUICore.xml -> FineUIMvc.lic.dev.config Visual Studio 2019 打开 FineUICore.sln Ctrl + F5 直接运行!
How-to-implement-CRUD-operations-via-API-controllers-in-an-ASP.NET-Core-with-Razor-Pages-project:ASP.NET Core,Razor页面,DataGrid,CRUD
05-22
如何在带有Razor Pages项目的ASP.NET Core中通过API控制器实现CRUD操作本示例演示了如何将dxDataGrid绑定到控制器动作,以及如何通过Razor Pages项目中的API控制器实现CRUD操作。 设置Controller,LoadAction,...
razor-pages-bootstrap-ajax-modals:有关使用Razor Pages和Bootstrap创建基于AJAX的模态的教程的源代码-ajax source code
03-25
首先,你需要在Visual Studio 2019社区版(或更高版本)中打开`razor-pages-bootstrap-ajax-modals-master`项目。这个项目应该包含以下主要组件: 1. **Razor Pages**:这些是`.cshtml`文件,它们包含HTML标记以及...
Entity Framework Core 经验
flyingdream123的专栏
05-10 401
使用StudentVM视图模型创建新的学生: public StudentVM StudentVM { get; set; }//视图模型 var entry = _context.Add(new Student()); entry.CurrentValues.SetValues(StudentVM);//将视图StudentVM对应的属性值赋值到Student实例。 await _context.SaveChangesAsync(); SetValues方法通过从另一个Property...
Entity Framework Core 插入数据
dotNET跨平台
04-15 446
这节我们主要了解使用EF Core向数据库中插入数据,同时EF Core可以单条插入也可以批量,插入数据时我们需要将实体的EntityState值设为"Added"状态1 实体状态(EntityState)EntityState枚举类型是用来存储实体状态,该枚举定义了下面5个值(Added,Deleted,Detached,Modified & Unchanged),当我们想要在数据库中创...
ASP.NET MVC TryUpdateModel 更新model
weixin_33724570的博客
07-14 122
总结参考:原文地址http://www.it165.net/pro/html/201305/5724.html TryUpdateModel (model)默认将view页面上form表单中的字段与model字段匹配, 如果相同则把表单中的值更新到model上, 如果只想更新某几个字段可以调用它的重载函数 例如    TryUpdateModel(model, new str...
TryUpdateModel的使用
芝麻麻雀-Asp.Net学习之路
10-07 2573
TryUpdateModel进行更新实体时,如果返回为false。可以使用 var errors = ModelState.Select(y =&gt; y.Value.Errors); 查找是哪个属性出现了问题。 另外: ModelState.IsValid和TryUpdateModel是一致的,如果在TryUpdateModel时出现错误,ModelState.IsValid也会变成...
基于Asp.Net Core Mvc和EntityFramework Core 的实战入门教程系列-3
weixin_33681778的博客
03-09 295
来个目录吧:第一章-入门第二章- Entity Framework Core Nuget包管理第三章-创建、修改、删除、查询第四章-排序、过滤、分页、分组第五章-迁移,EF Core 的codefirst使用 暂时就这么多。后面陆续更新吧 创建、查询、更新、删除 这章主要讲解使用EF完成 增删改查的功能。...
EFcore与动态模型(三)
weixin_30268071的博客
03-01 243
紧接着上面的内容,我们继续看下动态模型页面交互实现方式,内容如下: 1,如何实现动态表单 2,如何接收表单数据并绑定到动态模型上 一、如何实现动态表单 由于模型信息都是后台自定义配置的,并不是固定不变的结构,所以没有办法直接在页面上写出对应的表单数据,而需要通过解析模型的结构,动态的生成对应的表单。在说具体实现方法前,我们先来看下我们想要达到的效果。 Html.Raw(FormGener...
TryUpdateModel方法 模型绑定
weixin_30824599的博客
10-21 313
文档资料: https://msdn.microsoft.com/zh-cn/library/ee728634.aspx 有很多重载其中 Controller.TryUpdateModel<TModel>方法 (TModel, IValueProvider) 使用来自值提供程序的值更新指定的模型实例。 if(IsPostBack ) {...
[.Net Core学习三]基于Razor Page的增删改查
一入编程深似海
08-09 2106
数据库使用MongoDB 验证使用非侵入式脚本 Model public class Book { [BsonId] [BsonRepresentation(BsonType.ObjectId)] public string Id { get; set; } [BsonElement("Name")] ...
Web Forms、ASP.NET Core Razor Pages、MVC有什么联系和区别
最新发布
05-23
Web Forms、ASP.NET Core Razor Pages、MVC 都是用于开发 ASP.NET Web 应用程序的技术。 Web Forms 是一种基于事件驱动的编程模型,通过 .aspx 文件和 Code-Behind 文件来创建页面和处理用户输入。它是 ASP.NET 最...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值