ViewModelsは悪意のあるデータベースの変更をどのように防止しますか？

Question

質問Why do we use ViewModels?にthis answerを見ながら、私はこのセクションに出くわした：

「ビューは、任意の非プレゼンテーションロジックを含めるべきではない」と「あなた ビューを信用してはいけません」（閲覧は可能性があるため、ユーザーが提供する）。 Modelオブジェクトを提供する （アクティブな DatabaseContextに潜在的に接続されている可能性があります）によって、ビューはデータベースに悪意のある変更を加える可能性があります。

これは正確に何を指していますか？私のモデルと私のViewModelにUserIdとPasswordがある場合、セキュリティはどこにありますか？コントローラーの何らかのチェック？私たちは何を確認するのですか？

ビューからデータを信頼できると判断するにはどうすればよいですか？これは偽造防止象徴によって取り扱われますか？

Answer 1

私は答えがオーバーポストの問題を指していると思います。ビューで直接エンティティクラスを利用し、特にそのエンティティをデータベースに直接保存すると、悪意のあるユーザーがフォームを修正して、変更できないフィールドを投稿する可能性があります。

たとえば、ユーザーがウィジェットを編集できるフォームがあるとします。また、行レベルのアクセス権を持っているとしましょう。そのため、ユーザーは自分に属するウィジェットだけを編集できます。だから、私たち架空の悪意のあるユーザーであるJoeは、123というIDで編集できるウィジェットを編集します。しかし、彼はJaneのウィジェットを使いこなすことを決めたので、Idというフォームにフィールドを追加し、Janeのウィジェットid。 Joeがウィジェットフォームを投稿すると、代わりにJaneのウィジェットが更新されます。

ビューモデルはこの問題を解決するためのものではありませんが、本来、ビューモデルをデータベースに直接保存することはできないため、この問題は基本的に無効になります。エンティティをデータベースに保存する前に、ビュー・モデルの値をエンティティにマップする必要があります。その結果、マッピングされたものとマッピングされないものを明示的に制御するので、上記の例でJoeを変更すると、エンティティにマッピングされていないため、IDが変更されなくなります。

実際には、実際のの問題は、直接ユーザーが投稿したものをそのままデータベースに保存することです。実際には、エンティティクラスをビューに「モデル」としてフィードすることはできますが、ポストされたインスタンスは保存しないでください。代わりに、エンティティの新しいインスタンスを作成するか、データベースのインスタンスを新しいインスタンスから取得し、単純にそのインスタンスの値をそのインスタンスにマップします。再度、Idのようなプロパティをマップしないので、再びJoeが挫折します。言い換えれば、問題を解決するのはビューモデルではなく、問題を解決するPOSTを介して作成されたものを直接保存するのに十分なユーザーを信頼することは決してありません。

マイクロソフトではBind属性の形式で別のソリューションを提供しています。これにより、モデルバインディングプロセスのエンティティクラスに特定のプロパティを含める/除外することができます。たとえば、アクションのパラメータを[Bind(Exclude = "Id")]に飾ることで、上記の問題を解決できる可能性があります。Idの投稿された値は破棄されます。しかしはnumber of reasonsで恐ろしく、実際には使用しないでください。代わりに常にビューモデルを使用するか、モデルバインダによって作成されたエンティティインスタンスを直接保存しないでください。