0

ルート パラメータから名前を取得する部分ビューをロードしても安全かどうか疑問に思っています。

たとえば、次の URL

mydomain.com/home/services/selling

ビューに名前付きの部分ビューをロードさせたいselling

ビュー内のコードは次のとおりです。

string SubPage = ViewBag.SubPage;
@Html.Partial("~/Views/Pages/Services/"+SubPage)

これは安全ですか、それともある種のサニタイズを追加する必要がありますか?

追加情報

ユーザーが [サービス] の下のビューにアクセスしても、これらのビューはすべてサイト ナビゲーションからアクセスできるため、心配はありません。

~/Views/Pages/Services/サブページを設定して、アカウント フォルダー内のビューのように、フォルダーの外部からビューを読み込むことができるかどうか、さらに興味があります。

4

1 に答える 1

2

SubPage下にページを表示するように変更できる誰かの行為が、~/Views/Pages/Services/許可されるべきではないルートへのアクセスを取得する可能性がある場合、害があります。

これは、ユーザーが特定のコントローラー アクションを実行できることを確認する一般的なアクセス制御モデルを使用している場合に発生する可能性がありSubPageます。

于 2012-07-16T16:26:05.217 に答える