[英]WebApi with .NET core and json validation
我正在使用.NET core 2.0创建一些webapis。 我的验证有问题。
[HttpPost]
public async Task<IActionResult> RegisterUser([FromBody] RegistrationModel model) {
if (model != null && ModelState.IsValid)
{
// model is valid
}
}
例如,RegistrationModel的定义
public class RegistrationModel
{
[JsonRequired]
[JsonProperty("emailAddress")]
public string EmailAddress { get; set; }
[JsonRequired]
[JsonProperty("userCustomerId")]
public string UserCustomerId { get; set; }
}
如果我通过这个json,那就是完美的匹配
{
"emailAddress" : "test.email@gmail.com",
"userCustomerId" : "b1cb8805-2a59-428e-9c2a-ec663093f84f"
}
我的问题是如果我传递带有额外字段的json,模型仍然有效。
{
"emailAddress" : "test.email@gmail.com",
"userCustomerId" : "b1cb8805-2a59-428e-9c2a-ec663093f84f",
"extraField": "Hello!"
}
基本上,webapi忽略了额外的字段,但我想发回和错误,像Model这样的东西是无效的 。
我该如何实现呢?
这称为叠加,可在此处找到一些缓解策略: https ://andrewlock.net/preventing-mass-assignment-or-over-posting-in-asp-net-core/
您可以添加自定义模型绑定器或自定义Json反序列化以防止叠加,但是它不值得 - 确保您的模型不易受攻击并继续前进。
为什么?
你接受的是自由主义者。
有时候客户会发送一些额外的东西(比如像NewtonSoft.Json这样的$ id属性),并且停用这种行为会非常烦人。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.