forms - 停止 LaravelCollective 表单模型绑定被 GET 变量覆盖?
问题描述
Laravel 5.x、Laravel 集体 5.x
只要在 Laravel 刀片模板中有 Form:: 的实例和输入元素,总是可以使用 URL 中的 ?GET=variables 覆盖变量(无论表单绑定的模型是否已声明)。
这可能会带来安全风险。虽然有时它很有用,但人们有可能提供表单链接并覆盖隐藏字段或在用户不知情的情况下不应更改的重要字段?
这段代码:
{!! Form::textarea('content', null, ['rows' => '4']) !!}
{!! Form::textarea('content', '', ['rows' => '4']) !!}
{!! Form::textarea('content', "", ['rows' => '4']) !!}
{!! Form::textarea('content', "something specific", ['rows' => '4']) !!}
允许通过转到轻松覆盖生成的文本区域的默认内容/page?content=something+bad
解决方案
推荐阅读
- javascript - 拆分登陆页面被移动到左侧
- java - 杰克逊的 InvalidDefinitionException
- swift - 即使我使用 .randomElement() 方法 (Swift) 2019/2020,每日提醒(通知)也不会发送随机消息
- uwp - Line in style 的 TargetType 在 UWP 中不起作用
- c++ - 类方法返回指向具有模板的类成员的指针
- python - TypeError: print_lol() 得到了一个意外的关键字参数“fh”
- javascript - 当我试图从 datepicker 获取值到该特定字段时,我无法在日期字段中显示默认值
- asp-classic - 通过 SSL 端口 465 使用 ASPEmail 发送电子邮件时出错
- javascript - 单击时如何更改按钮的值?
- python - 如何从json中删除引号?