Wszelkie dobre strategie, fragmenty kodu itp. W celu zapobiegania manipulowaniu adresami URL?Zapobieganie manipulacjom adresu URL za pomocą MVC?
Na przykład mam ten adres URL, http://localhost/profile/edit/5
id może być łatwo zmieniony na cokolwiek, a zatem ludzie mogą edytować profile, które też nie powinny.
Oto kilka pomysłów myślałem, ale wszystkie mają tam wady:
zmienić swój system, aby używać kluczy podstawowych GUID - sprawia, że prawie niemożliwe do odgadnięcia kluczy - ale ludzie wciąż mogą wziąć GUID z jednej części aplikacji i użyj go później w innym adresie URL.
Użyj TempData do przechowywania kluczy - zapobiega wysyłaniu adresów URL wokół \ used później.
Wykonaj kontrole w kontrolerze przed wyświetleniem strony - oznacza to, że musisz wprowadzić kod "adminy" wszędzie, gdzie sprawdza operacje.
Co najlepiej zrobić? Jeden z tych czy coś innego?
Chciałem dodać, czy nadal nie ma przyzwoitego sposobu na zrobienie tego? Być może w EntityFramework? – Worthy7