asp.net - ASP.Net PasswordRecovery 类和账户枚举漏洞
问题描述
帐户枚举意味着用户可以区分有效和无效的帐户 ID,因为如果帐户存在与不存在时,应用程序会做出不同的响应(它会显示可配置的错误消息或 Success 模板)。
asp.net PasswordRecovery 类在内部处理错误和成功状态,在这两种情况下似乎没有办法向用户显示相同的响应。或者有吗?您是否设法使其始终显示中性消息(例如“如果您输入了有效的帐户 ID,您将很快收到密码恢复电子邮件”)?
或者换句话说,如何强制控件始终显示成功消息,例如来自 OnUserLookupError 事件处理程序。如果这是可能的,则没有记录。文档中的所有示例都有这个枚举漏洞。
解决方案
推荐阅读
- google-sheets - IMPORTXML 给出“导入的内容为空错误”
- java - 陷入无限循环,在 Java 猜测程序中嵌套了 if-else 语句
- python - 具有可覆盖静态属性的抽象类注释
- c++ - llvm::NoneType 和 llvm::None 是做什么用的?
- bar-chart - 在 Tableau 中取消堆叠条形图
- python - Django - 从扩展用户模型中获取字段的查询集
- javascript - 将 JavaScript 数组中的重复项转换并消除为普通对象(包含数组)
- python - 如何比较 JSON Python 中的两个值
- database - “.”处或附近的QueryDSL语法错误 在多对多的关系
- javascript - 如何在不首先创建类的实例的情况下访问类的子类