0

カミソリ Web ページ アプリケーションでアイテムを削除するための非表示のフォーム フィールドがあります。

<input type="hidden" value="137" name="id">

ユーザーはアイテムの値を簡単に変更し、他のユーザーの製品を削除できます。これをどのように保護しますか?

4

1 に答える 1

1

サーバー側の検証を行って、そのユーザーがそのエンティティを編集/削除 (またはその他のアクション) するための適切な権限を持っていることを確認する必要があります。

例として、あなたのController

[HttpPost]
public ActionResult Delete(int? id)
{
   if (CanUserDeleted(id))
   {
      Delete(id);
      // more magic
   }
   else
   {
      // Give the user an error
   }
}
于 2012-09-27T12:56:42.017 に答える