2

考虑以下模型:

public class Contact {

  @Required
  public String name;

  @Valid
  public List<Information> informations;

  }

  public static class Information {

    public String securedField;

    @Required
    public String email;

    @Valid
    public List<Phone> phones;

    public static class Phone {

      @Required
      @Pattern(value = "[0-9.+]+", message = "A valid phone number is required")
      public String number;
    }

  }

}

我不想Information securedField受到批量分配漏洞的影响。所以我决定为Contact Form.

据我所知,播放表单是基于 Spring DataBinder 的,所以可以处理集合字段吗?我不想这样写:

  • 姓名
  • 信息[0].email
  • 信息[0].电话*
  • 信息[1].email
  • 信息[1].电话*
  • ETC

以下不起作用:

  • 姓名
  • 信息.email
  • 信息.电话*

在这种情况下,我应该扩展现有Spring DataBinderForm类并覆盖bind方法吗?

4

2 回答 2

3

这是一个可以说更简单的解决方案。informations[%d].securedField如果 POST 数据包含任何值,如何定义将触发验证失败的额外约束?

import javax.validation.constraints.Null;

public static class Information {

    @Null
    public String securedField;

    ...

}

我认为这样你可以调用默认bindFromRequest方法而不是接受表单字段名称白名单的方法,并且仍然可以防止大规模分配攻击。

不可否认,这种方法的一个缺点是,如果发生协同的批量分配攻击,它最终会泄露您的内部字段的名称。但是,如果他们有相当平淡、毫无意义的名称,例如securedField(无意冒犯!),我不确定攻击者如何利用这些信息。

编辑

如果您想允许根据当前用户类型分配给该字段,那么 bean 验证组可能会有所帮助:

import javax.validation.constraints.Null;

public class Contact {

    public interface Administrator {}

    public interface User {}

    ...

    public class Information {

        @Null(groups = User.class)
        public String securedField;

        ...

    }

}

控制器代码

...
final Form<Contact> contactForm;
if (currentUser.isAdministrator()) {
    contactForm = form(Contact.class, Administrator.class).bindFromRequest();
} else {
    contactForm = form(Contact.class, User.class).bindFromRequest();
}
...
于 2014-07-16T09:16:57.880 回答
0

如果我正确理解您的问题,您可以使用以下模式将嵌套集合字段列入白名单:

informations[*].email
informations[*].phones[*].*

IE

form.bindFromRequest("name", "informations[*].email", "informations[*].phones[*].*");
于 2014-07-29T10:42:16.733 回答