![](/img/trans.png)
[英]Restricting number of object returned by breeze query (security point of view)
[英]Ensuring query restrictions are honored during SaveChanges - Breeze security
考虑一个典型的Breeze控制器,该控制器将查询结果限制为登录用户有权访问的实体。 当浏览器调用SaveChanges
,Breeze是否在服务器上验证报告为已修改的实体来自原始集中?
换句话说, EFContextProvider
(在Entity Framework的情况下)是否跟踪已EFContextProvider
的实体,以便可以检查传递给SaveChanges
恶意数据? 还是BeforeSaveEntity
需要验证用户是否有权访问更改的实体?
您必须在BeforeSaveEntity或BeforeSaveEntities方法中防范恶意数据。
EFContextProvider将跟踪已经发放的实体的想法可能是我们不希望做的事情,因为
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.