1
1対多の関係(LabTest & LabTestDetail)を持つ2つのオブジェクトがあります。私は新しいLabTestDetailオブジェクトを追加したいとき、私はLabTest ID(親ID)を渡すAjax.actionlinkでLabTestDetail Create action methodへオブジェクトIDが私のasp.net MVC Webアプリケーション内の攻撃者のユーザによって変更されていないことを確認する方法
@Ajax.ActionLink("+ Add New Lab Test Detail",
"Create", "LabTestDetail",
new { labtestid = Model.LabTestID },
new AjaxOptions
{
InsertionMode = InsertionMode.Replace,
HttpMethod = "Get",
UpdateTargetId = "replace",
LoadingElementId = "progress"
})
LabTestDetailCreate Action methodは、以下のように見える従うよう。 iはviewbagにlabtestidの値を格納する場合: -
[Authorize(Roles = "Doctor")]
public ActionResult Create(int labtestid)
{
ViewBag.labtestid = labtestid;
LabTestDetail ltr = new LabTestDetail();
return PartialView("_Create", ltr);
}
そしてcreate viewに私は次のようにhidden html fieldにViewbagの値を格納する: - LabTestDetailPost Create action方法最後
<input type= "hidden" name = "labtestid" value = @ViewBag.labtestid />
以下のように見てください: -
[Authorize(Roles = "Doctor")]
[HttpPost]
[ValidateAntiForgeryToken]
public ActionResult Create(LabTestDetail ltr, int labtestid)
{
try
{
if (ModelState.IsValid)
{
ltr.LabTestID = labtestid;
repository.AddLabTestDetail(ltr);
repository.Save();
return PartialView("_datails", ltr);
}
}
//code goes here
上記のw私のために細かなorks私はそれをテスト,,, が、私の大きな問題は、私はlabtestidの値は、次のアクション中に攻撃者によって変更されていないことを確認することができます方法です: -
iがビューバッグとして
labtestid値を渡すとき、私はcreate action methodへ
ajax.action linkからlabtestid値を渡す、最終的に、私が割り当てるとき
labtestidの値はhtml hidden fieldになります。
最高のお礼 ご協力いただきありがとうございます。 BR
はい私は元のコードを更新する前に[Authorize(Roles = "Doctor")]を使用していますが、LabTestオブジェクトの所有者であるかどうかに関わらず、医師はLabTestDetailsを追加できます。しかし、私の懸念は、私のアプリケーションでプロの攻撃者がID値を変更できるようにすると、セキュリティ上の問題が発生する可能性があることです。私は攻撃者がIDを変更して新しい私のアプリケーションにはセキュリティ層がありますので、これを行う方法はありますか? –