我有一个多用户ASP.NET MVC应用程序.用户不应该看到或对彼此的数据做任何事情. 我的控制器操作之一是强制POST到/编辑以编辑记录(例如联系人).现在这是我的问题:如果有人伪造一个简单的POST到/ Edit(它会自动模型绑定到我的联系人类)并编辑其他人的信息怎么办?由于每个记录都由Id标识,所以必须做的就是使用Id XXX进行假POST,然后记录#XX将被攻击者提供的任何内容覆盖.我怎么能阻止这个? 我唯一想到的是每次从数据库中获取原始实例...
我在一个平台产品上工作,需要版本之间的公共兼容性,所以针对我们以前的构建编译的一些代码应该能够对付我们的新构建,而无需重新编译. 有没有一个可以自动验证的工具,我所能找到的只是How to test binary compatibility automatically?,这似乎是针对C的解决方法:您可以尝试使用ApiChange的diff功能. 此实用程序采用一组旧程序集和一组新的程序集,这些程序集针对Api更改进行了差异.检查包括: >添加/删除类型>添加/删除字段,方法,事件...
我正在检索用于跟踪目的的IP地址,这不是用户既不输入也不是用于跟踪用户访问网站的次数之外的任何其他原因. 地址存储在数据库中,用于查看客户端之前是否已访问过该站点. 所以问题是可以以恶意方式使用IP地址吗?除了“欺骗”.解决方法:验证的大多数原因不适用; IP将来自一个Request属性,该属性是从底层连接中的信息构建的,这些信息已经在很大程度上得到了验证,因此虽然它可能是欺骗性的,但它不能伪造成实际上不是IP地址的东西. . 但...
我们有一个Web服务(C#中的WCF),到目前为止一直在内部网上使用.展望未来,我们希望将其打开到互联网上.显然我们担心顽皮的人无法访问界面.在WCF中确保这一点的最佳实践方法是什么?是WSS吗?我假设某种登录界面和返回的令牌,客户端必须在每次通话时使用?解决方法:你基本上有六个选择: > Windows帐户 – 在Intranet中很棒,在Internet方案中不是很好(内置,仅配置)>针对ASP.NET成员系统的用户名/密码:您仍需要保留有效用户的数据库;取...
是否可以为Class范围中使用的自定义ValidationAttribute实现客户端站点验证?例如我的MaxLengthGlobal,它应该确保所有输入字段的全局最大限制.[AttributeUsage(AttributeTargets.Class)] public class MaxLengthGlobalAttribute : ValidationAttribute, IClientValidatable {public int MaximumLength{get;private set;}public MaxLengthGlobalAttribute(int maximumLength){this.MaximumLength = maximumLength;}public override ...
我目前正在开发一个WPF客户端,它从Windows Azure AppFabric ACS获取SWT令牌.有了这个令牌,我想使用RESTful WCF服务.我使用this tutorial来获取SWT令牌,它完美无缺.在this MSDN tutorial的帮助下,我创建了RESTful WCF服务. 问题是令牌可能具有错误的格式,因为令牌验证器无法验证它(令牌验证器的IsHMACValid方法中的错误,swtWithSignatur.Length == 1). 与服务器联系的令牌示例: { “appliesTo”: “HTTP://本地主机:7100 /服务/...
我正在尝试使用MVC 3创建一个用户注册页面,这样我就可以更好地理解它的工作过程,幕后发生的事情等等.我在尝试使用[Compare]检查时遇到了一些问题看到用户输入了两次相同的密码. 我尝试首先将ComparePassword字段添加到我的用户模型中,发现由于我没有数据库中的字段,因此无法按照我想要的方式工作,因此显而易见的答案是使用包含ComparePassword的相同信息创建视图模型领域. 所以我现在已经创建了一个User模型和一个RegistrationView...
我正在使用HTML Agility Pack来验证我的HTML.以下是我正在使用的,public class MarkupErrors {public string ErrorCode { get; set; }public string ErrorReason { get; set; } }public static List<MarkupErrors> IsMarkupValid(string html) {var document = new HtmlAgilityPack.HtmlDocument();document.OptionFixNestedTags = true;document.LoadHtml(html);var parserErrors = new List<MarkupErrors>();foreach(var error i...
在过去的几个小时里,我一直在搜索谷歌,试图找到一种方法来返回与输入控件相关的所有验证器.也许我说错了或不可能. 我知道有一组验证器可以通过Page.Validators访问,但我想要做的是这样的:var myValidators = Page.Validators.Where(x => x.ControlToValidate = "abcdef");有任何想法吗?解决方法:Page.Validators包含一个IValidator集合,但大多数验证器派生自BaseValidator,它具有ControlToValidate属性,因此您可以这样做:var my...
我在Sharepoint 2010中创建了几个webpart.在当前版本中,用户通过Ad登录进行身份验证,但现在客户希望自定义它并允许通过AD登录或电子邮件名称进行身份验证 – 使用声明(在不同的应用程序池上). 我的问题是我必须检查用户是否通过声明进行身份验证(在我的管理员webpart中使用它).我知道我可以在sharepoint中检查用户登录名,如果是这种形式:i:0#.f | ldapmember | user@example.com这意味着我已经启用了声明. 但也许有更好的方法来检...
考虑一下我有这两个属性:public class Test {[Required(ErrorMessage = "Please Enetr Age")]public System.Int32 Age { get; set; }[Required(ErrorMessage = "Choose an option")]public System.Boolean IsOld { get; set; } }当用户为Age输入例如15并为IsOld选择“是”时,我返回一个正确的Age或IsOld的异常.我已经使用了CustomValidation,但因为我的验证必须是静态的,所以我无法访问其他属性.我如何通过DataAnnotation执行此操...
考虑为按位运算设计的FileAttributes枚举.我创建了一个系统,用户可以在其中选择一些复选框来确定文件的状态.文件可以是ReadOnly和System.因此,该值将为5(对于ReadOnly为1,对于4个System为4). 如何验证整数是否为有效的FileAttributes枚举? 我已经看到了这些问题,但它们并没有帮助我,因为它们不适用于bitwised(标记,组合)值. Check that integer type belongs to enum memberIs there a way to check if int is legal enum in C#?解...
这是我之前的问题Web API attribute routing and validation – possible?的精神继承者,我认为这个问题过于笼统.大多数问题都已解决,但默认值问题仍然存在. 基本上我已经解决了许多难题.我有这个:[HttpGet] [Route("test/{id}"] public IHttpActionResult RunTest([FromUri]TestRequest request) {if (!ModelState.IsValid) return BadRequest(ModelState);return Ok(); }我的TestRequest类:public class TestRequest {public st...
我正在使用Web api和angular js创建一个网站,我对我的网站中使用的身份验证非常困惑. 我创建了一个login.js,其中有我的Login方法,它将我的用户名/ Emailid和密码发布到我的Web Api,web api中的方法将验证该用户. 码:$scope.Login() {$.post("api/Authentication/Login",Username,Password){} }Web api代码:[Route] Public Task<object> Login([FromBody] username,password) {//method to authenticate user from database.//Now...
我有一个使用我的身份验证过滤器的操作方法:public class TutorAuthenticationAttribute : ActionFilterAttribute {public override void OnActionExecuting(ActionExecutingContext filterContext){var req = filterContext.HttpContext.Request;var auth = req.Headers["Authorization"];if (!string.IsNullOrEmpty(auth)){var cred = System.Text.Encoding.ASCII.GetString(Convert.FromBase64String(auth.Substring(6))).Spli...