0

我想知道加载从路由参数中获取名称的局部视图是否安全?

例如使用以下 URL

mydomain.com/home/services/sales

我希望视图加载名为的局部视图selling

这是视图中的代码:

string SubPage = ViewBag.SubPage;
@Html.Partial("~/Views/Pages/Services/"+SubPage)

这是安全的还是我应该添加某种消毒?

附加信息

我不担心用户是否访问服务下的视图,因为所有这些视图都可以通过站点导航访问。

如果可以设置子页面以便它从文件夹外部加载视图,我更感兴趣~/Views/Pages/Services/,就像帐户文件夹中的视图一样。

4

1 回答 1

2

如果某人的行为可以修改SubPage以显示其下方的页面,~/Views/Pages/Services/则会导致他们获得对不应被允许的路线的访问权,这将是有害的。

如果您使用通用访问控制模型来验证是否允许用户执行给定的控制器操作,而无需额外检查SubPage是否允许他们执行,则可能会发生这种情况。

于 2012-07-16T16:26:05.217 回答