Security aspnetcore是否有一个银河系大小的控制器安全漏洞,或者我遗漏了什么?
在查看一位同事的库时,我看到了他描述的两种使用新StatusController的方法。要么重写GetStatus方法以返回更具体的数据,要么简单地让默认实现工作。 好的,所以我做了覆盖,因为我还不确定他对后者的意思,这是有效的。另一位同事问我是否看过后者,我回答 “不,因为如果我只是引用项目/nuget,而不以某种方式告诉框架它是不起作用的” “那就试试吧” “好的,但如果它起作用,我会错愕的。” 我现在感到震惊 然后,我继续通过间接引用尝试这个方法,它仍然有效。我故意不显示任何代码,因为它只是来自VisualStudioMVCWeb应用程序或WebAPI的锅炉板控制器代码,您可以在几分钟内完成。但让我给你举个例子 假设我正在为编写一个应用程序,我想对特定的文件格式进行一些特殊的字符串解析,有一个nuget包可以帮助我,让我们称之为VotingMachineFormatParser,我不知道它使用了一个名为Tviker(俄文意为Tweaker)的包,我不知道为什么,但他们发现它很有用。Tviker内部有一个名为GosudarsTvennoyevMeshatelestVoController的控制器类,它做了一些事情——它意味着状态干扰 如果您现在转到某个代码正在运行的地方,执行任何操作 我以为您应该使用应用程序部件的概念从另一个程序集中拉入控制器。拜托,我错过了什么?这肯定不是我想的那个洞吧 编辑: 我没有包含任何代码,因为这是重点,您不需要任何代码。我忘了说这是.NETCore3.1+的“新”行为,它以前不是这样工作的。从另一个程序集拉入控制器的唯一方法是通过ApplicationParts 测试这一点很容易,只需重命名两个boiler plate类即可 让VStudio在.NetCore 5中创建一个boiler plate WebAPI,并选中OpenAPI复选框。在两个单独的文件夹中执行此操作,但其中一个文件夹将WeatherForecastController重命名为ToldYouController,并将WeatherForecast类重命名为WeatherForecast1(通过重构)Security aspnetcore是否有一个银河系大小的控制器安全漏洞,或者我遗漏了什么?,security,asp.net-core-mvc,.net-5,Security,Asp.net Core Mvc,.net 5,在查看一位同事的库时,我看到了他描述的两种使用新StatusController的方法。要么重写GetStatus方法以返回更具体的数据,要么简单地让默认实现工作。 好的,所以我做了覆盖,因为我还不确定他对后者的意思,这是有效的。另一位同事问我是否看过后者,我回答 “不,因为如果我只是引用项目/nuget,而不以某种方式告诉框架它是不起作用的” “那就试试吧” “好的,但如果它起作用,我会错愕的。” 我现在感到震惊 然后,我继续通过间接引用尝试这个方法,它仍然有效。我故意不显示任何代码,因为它只
在第一个项目中,使用ToldYouController引用该项目,运行之后,您将看到两个控制器都在大摇大摆地运行,而您实际上只做了引用就实现了这一点!您可以通过使用间接引用来尝试这一点,它也会这样做。.NET Core 3.x为引用MVC的程序集自动注册应用程序零件 发件人: 请注意,在ASP.NET Core 3.x中,编译程序集时 引用ASP.NET Core,将程序集属性添加到输出中, [应用程序部分]。ASP.NET Core 3.x应用程序在上查找此属性 引用的程序集并将其注册为应用程序部件 自动地 关于上的应用程序部件属性: 指定要添加为ApplicationPart的程序集 在普通情况下,MVC将生成ApplicationPartAttribute 条目程序集上引用的每个依赖项的实例 MVC。每个程序集都被视为ApplicationPart
由于
GosudarstvennoyeVmeshatelStvoController控制器MVC