c# - 在.net core 2.2中更新模型的正确方法，而不会通过隐藏字段出现任何安全问题

问题描述

创建脚手架项目 (CRUD) 时，Visual Studio 会创建多个页面，我对编辑页面有疑问。在这里，它创建默认布局以更新您的模型，可以对其进行修改以满足您的需求。我看到的问题是它为您的 ID 创建了一个隐藏的输入字段。由于可以编辑输入控件，这不是安全问题吗？如果对此进行了编辑，当您按理论保存时，它会更新不同的项目（因此存在安全问题）？另外，如果我有第二个不应编辑的字段，例如“CreatedBy”，我是否应该创建另一个隐藏字段？如果此字段也被编辑，我将失去我原来的 CreatedBy 用户。

此外，如果我删除这些隐藏的输入框以消除安全威胁，我面临的问题是自动验证将失败，因为它不会在模型上保留我的 Id 或 CreatedBy 用户。这也是更新时的一个问题，因为 Id 也会丢失。处理此问题的最佳和正确方法是什么？

下面是创建脚手架项目 (CRUD) 时由 Visual Studio 创建的自动代码示例：

...
<form method="post">
    <div asp-validation-summary="ModelOnly" class="text-danger"></div>
    <input type="hidden" asp-for="Test.Id" />
    <div class="form-group">
        <label asp-for="Test.Created" class="control-label"></label>
        <input asp-for="Test.Created" class="form-control" />
        <span asp-validation-for="Test.Created" class="text-danger"></span>
    </div>
    <div class="form-group">
        <label asp-for="Test.CreatedBy" class="control-label"></label>
        <input asp-for="Test.CreatedBy" class="form-control" />
        <span asp-validation-for="Test.CreatedBy" class="text-danger"></span>
    </div>
    <div class="form-group">
        <label asp-for="Test.Blahblah" class="control-label"></label>
        <input asp-for="Test.Blahblah" class="form-control" />
        <span asp-validation-for="Test.Blahblah" class="text-danger"></span>
    </div>
    <div class="form-group">
        <input type="submit" value="Save" class="btn btn-primary" />
    </div>
</form>
...

无论如何，我知道这是基本的东西，我一直在网上寻找答案，但一直找不到。我找到了在验证期间检查特定属性的方法，但这仍然不能确保我不会丢失 Id 和 CreatedBy 字段，假设我删除了隐藏的输入。

似乎我唯一的选择是遇到安全问题，但我拒绝相信这是正确的方法。无论如何感谢您的帮助！

标签： c#.netasp.net-core.net-coreasp.net-core-2.2