4
我只是困惑,爲什麼它是不好的做法,在視圖中使用域對象?我被告知它可以離開模擬綁定攻擊,但我不完全確定這是什麼或如何完成。我也不太明白如何將屬性複製到視圖模型將解決此問題。爲什麼我們不應該在視圖中使用域對象?
在此先感謝
A
回答
4
您的域對象通常包含一些屬性,這些屬性可以定義像isAdmin, isDeleted, isAuthorized或任何其他安全或敏感信息的標誌或位,即使您只是以只讀狀態顯示它,也可能不希望最終用戶陷入混亂狀態視圖/ html中的屬性名稱,給一些'聰明的用戶'玩你的POST動作的機會,如果你沒有采取正確的預防措施,這可能會導致安全漏洞。
如果你使用一個ViewModel你不得不做從ViewModel <-> Model(域對象)重新映射,在此重新映射可以確保該任務只是你從任何特定用戶像希望的:
if(CurrentUser.IsAdmin)
{
//Assign just if the currrent user is admin
Model.IsDeleted = ViewModel.Delete;
}
1
你的域對象可能包含敏感信息,如IsAuthenticated,UserRoles等,不應該被允許直接從客戶端代碼的影響。
如果你的域對象不包含任何東西,但性質上顯示的屏幕,那麼你可能並不需要擺在首位的域模型。
1
嘛。用戶可以修改您的域對象中的任何字段。這就是ASP MVC中模型綁定的工作原理。他們需要做的就是在發佈之前修改表單。例如,您可以使用Chrome/Firefox開發人員工具。
我的博客上講述它:http://blog.gauffin.org/2011/07/three-reasons-to-why-you-should-use-view-models/
1
鑑於使用領域模型並不總是壞事。 模型綁定攻擊提供的屬性值不用於編輯。 爲了防止模型綁定攻擊與BindAttribute標記您的行爲參數,指定與允許綁定的屬性列表包含或排除(更好)。
+0
+1 BindAttribute。將它與一個將敏感字段設置爲良好默認值的構造函數相結合,並且您是安全的。 –
相關問題
- 1. 爲什麼我們應該在對話框中使用「null」?
- 2. 爲什麼我們不應該在Java中使用
- 3. 爲什麼我們應該在全局函數/對象上使用「::」運算符?
- 4. 爲什麼我們不應該在角度上使用jquery?
- 5. 爲什麼我應該模擬對象?
- 6. 爲什麼或我們應該在rails3中使用config.ru
- 7. 爲什麼我們應該在proguard.cfg中使用關鍵字「-keep」
- 8. 爲什麼我們應該使用臨時對象來提高事件?
- 9. 我應該對這個圖像視圖應用什麼限制?
- 10. 爲什麼我們不應該使用(默認)src包?
- 11. 爲什麼我們不應該同時使用jspViewResolver和TilesViewResolver?
- 12. php,爲什麼我們不應該使用get('var');
- 13. 爲什麼我不應該使用Unity?
- 14. 爲什麼我不應該使用atoi()?
- 15. 爲什麼我應該使用1bit位域而不是bools?
- 16. JavaScript:爲什麼我們在函數中使用** arguments **對象?
- 17. 視圖控制器應該在視圖中應該是什麼?
- 18. 在Twisted中使用MongoDB。爲什麼我不應該使用pymongo?
- 19. 爲什麼我們應該在angular2上使用subscribe()over map()?
- 20. 爲什麼封裝不在對象中/爲什麼我們稱之爲封裝
- 21. 爲什麼我們使用線程時不會出現視圖
- 22. 什麼不應該在MVC視圖內?
- 23. 爲什麼我們不應該在Jboss中使用自己的線程?
- 24. 爲什麼我們不應該在dopost中使用請求調度程序?
- 25. 爲什麼我們不使用*,而我們創建NSRange的對象
- 26. 爲什麼我應該爲l18n使用域名?
- 27. 爲什麼我們應該在量角器中禁用動畫?
- 28. 我們應該在java中使用Date對象嗎?
- 29. 爲什麼我們應該用灰度圖像處理
- 30. 爲什麼我們不能在const對象上調用函數?
其他益處的旁邊(例如分離從域邏輯視圖相關邏輯)將防止[質量-分配新建分配FY](http://odetocode.com/blogs/scott/archive/2012/03/11/complete使用的ViewModels -guide到質量分配,在-ASP淨mvc.aspx) – nemesv