ASP.NET MVC错误做法：控制器操作不限于在ASP.NET MVC中发布_Asp.net_Asp.net Mvc_Http_Fortify

ASP.NET MVC错误做法：控制器操作不限于在ASP.NET MVC中发布

asp.net asp.net-mvc http

ASP.NET MVC错误做法：控制器操作不限于在ASP.NET MVC中发布,asp.net,asp.net-mvc,http,fortify,Asp.net,Asp.net Mvc,Http,Fortify,我用Fortify SCA扫描了我的源代码我在检查Fortify report时遇到了ASP.NET MVC错误做法：控制器操作不限于POST（API滥用，结构）错误 Fortify发现了说 Recommendations: The following controller action accepts only the POST verb because it has the [HttpPost] attribute: [HttpPost] public ActionResul

我用Fortify SCA扫描了我的源代码

我在检查Fortify report时遇到了ASP.NET MVC错误做法：控制器操作不限于POST（API滥用，结构）错误

Fortify发现了说

Recommendations:

The following controller action accepts only the POST verb because it has the
[HttpPost]     attribute:


[HttpPost]
public ActionResult UpdateWidget(Model model) 
{
// ... controller logic
}

但我看了那行代码，它包含

[HtttpPost]

属性

是假阳性还是假阳性

加强SCA本身，给出两个对比声明

ASP.NET MVC错误做法：控制器操作不限于POST（API滥用、结构化）

建议：

The following controller action accepts only the POST verb because it has the
[HttpPost]     attribute:

如果要在UpdateWidget方法中使用model更新模型或数据库，请添加更安全的HttpPost操作属性。如果您确定添加了HttpPost操作属性ignore Fortify bug，我同意这一点。我检查了源代码HttpPost属性是否仍然存在。看起来像是Fortify的臭虫。我想知道这个bug是否还有其他意义？我也得到了一个误报，因为它的价值。