【发布时间】:2019-08-06 09:45:53
【问题描述】:
托管基于 ASP.NET MVC 和 Angular 的企业 Web 应用程序供外部用户访问。我们遇到了这样一个场景,比如用户可以操作禁用字段中显示的值并使用浏览器开发人员工具提交。例如(1) 车辆名称、描述等的输入字段在编辑模式下被禁用,但用户可以使用开发工具将只读字段属性设置为可编辑,并将实际值操作为其他内容。
类似地,例如(2) 客户详细信息通过 ID 从 Cust db 中获取并显示在屏幕上。客户详细信息预计将保存在另一个数据库中,并输入更多详细信息,但用户使用开发工具编辑只读客户字段并提交。
作为一种解决方案,在每次提交的检索值和发回值之间引入服务器端验证似乎不是正确的方法。
那么,如何保护只读或静态值不被浏览器或其他开发工具操纵?
【问题讨论】:
标签: asp.net-mvc angular validation user-interface