Điều gì sẽ xảy ra nếu tôi có biểu mẫu ChangePassword với trường ID ẩn của người dùng.Ngăn chặn thay đổi trường ẩn
BadPerson biết id của GoodPerson. Anh ta mở biểu mẫu Thay đổi mật khẩu bằng FireBug, thay đổi Id của mình thành Id của GoodPerson, do đó thay đổi mật khẩu cho GoodPerson. Tất nhiên tôi có thể tạo ra một số logic máy chủ sẽ ngăn chặn điều này, nhưng tôi nghĩ rằng nên có một số giải pháp hộp, mà ném nếu lĩnh vực ẩn được thay đổi, mà tôi không biết.
Cảm ơn trước.
EDIT Ok, thay đổi mật khẩu là một ví dụ xấu. Bất kỳ hình thức chỉnh sửa mà tôi có id trong lĩnh vực ẩn có cùng một vấn đề.
Tôi sẽ làm điều đó thứ hai, đừng cố gắng tự làm, sử dụng xác thực biểu mẫu, nó sẽ xử lý tất cả những điều đó cho bạn. – Doobi
Tôi cũng muốn thêm rằng khi cho phép người dùng thay đổi mật khẩu của họ, bạn nên nhập mật khẩu hiện tại cùng với mật khẩu mới. Điều này cung cấp thêm một điểm xác thực mà bạn có thể thực hiện. – BradBrening
Ok, nhưng nếu nó không phải là một người dùng, nhưng một số đối tượng khác, vì nó rất thuận lợi để lưu trữ id của nó. > Không có gì sẽ cho bạn biết rằng giá trị của giá trị của trường ẩn đã được thay đổi hoặc không Tôi không đồng ý với điều này. Tốt viewstate cũ có thể :) Có nên có một cái gì đó tôi belive. Nếu không thì có một lỗ hổng lớn về an ninh. –