ASP.NET MVC错误做法:控制器操作不限于在ASP.NET MVC中发布
我用Fortify SCA扫描了我的源代码 我在检查Fortify report时遇到了ASP.NET MVC错误做法:控制器操作不限于POST(API滥用,结构)错误 Fortify发现了说ASP.NET MVC错误做法:控制器操作不限于在ASP.NET MVC中发布,asp.net,asp.net-mvc,http,fortify,Asp.net,Asp.net Mvc,Http,Fortify,我用Fortify SCA扫描了我的源代码 我在检查Fortify report时遇到了ASP.NET MVC错误做法:控制器操作不限于POST(API滥用,结构)错误 Fortify发现了说 Recommendations: The following controller action accepts only the POST verb because it has the [HttpPost] attribute: [HttpPost] public ActionResul
Recommendations:
The following controller action accepts only the POST verb because it has the
[HttpPost] attribute:
[HttpPost]
public ActionResult UpdateWidget(Model model)
{
// ... controller logic
}
但我看了那行代码,它包含
[HtttpPost]
属性
是假阳性还是假阳性 加强SCA本身,给出两个对比声明 ASP.NET MVC错误做法:控制器操作不限于POST(API滥用、结构化) 建议:
The following controller action accepts only the POST verb because it has the
[HttpPost] attribute:
如果要在UpdateWidget方法中使用model更新模型或数据库,请添加更安全的HttpPost操作属性。如果您确定添加了HttpPost操作属性ignore Fortify bug,我同意这一点。我检查了源代码HttpPost属性是否仍然存在。看起来像是Fortify的臭虫。我想知道这个bug是否还有其他意义?我也得到了一个误报,因为它的价值。