我使用授权属性来检查用户是否有权进入特殊 View 。
[HttpGet]
[Authorize]
public ActionResult Index(int ID)
{
ViewBag.sID = ID;
return View();
}
假设这是 mu URL:localhost:16621/Panel/Index/1 现在该授权用户可以将 1 更改为 2 并导航到另一个用户信息。像本地主机:16621/Panel/Index/2 如何防止这种情况???有没有办法将参数传递给授权属性? 如何防止用户访问其他用户信息?
最佳答案
恐怕没有什么神奇的开关 - [授权]只是踢掉未经授权的用户、不在指定范围内的用户或角色错误的用户。上下文绑定(bind)数据的安全性取决于您 - 您必须在 Index() 主体内执行此操作,并在传递的 id 对实际用户不可用时将用户重定向到其他地方。
关于asp.net-mvc - 使用授权属性 ASP.Net MVC,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/17530092/