[英]Fortify Scan on ASP.Net Core Web API
我们构建的 ASP.NET 内核 Web API 解决方案通过了强化扫描,以下是报告的几个不同的问题(共 50 个):
1. 批量分配:不安全的 Binder 配置(高优先级)
public class CreateRequestModel
{
public string Name { get; set; } = default!;
public string User { get; set; } = default!;
}
此 model 作为输入传递给 controller 后操作:
[HttpPost]
public async Task<IActionResult> Create(CreateRequestModel model)
{
bool status = await _service.Create(model);
return Ok(status);
}
2. ASP.NET MVC 不良做法:Controller 操作没有防伪验证(低优先级)
这是针对相同的 controller 操作方法(第 1 行)报告的:
[HttpPost]
public async Task<IActionResult> Create(CreateRequestModel model)
{
bool status = await _service.Create(model);
return Ok(status);
}
我可以知道解决此问题的解决方案是什么吗?
我试图研究自己,但没有得到任何线索。 所有链接都指向 ASP.NET Core MVC 应用程序修复。 我们是纯 Web API 我们不返回任何意见。
请建议。
问题1的解决方案:
[Bind(nameof(Name), nameof(User))]
public class CreateRequestModel
{
public string Name { get; set; } = default!;
public string User { get; set; } = default!;
}
由于问题 2 的优先级较低,我暂时将其抑制。 如果我找到相同的解决方案,我将更新答案
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.