正在截获ASP.NET MVC POST值

对控制器（或任何HTTP处理程序）的请求没有任何特殊或受保护的地方。它只是一个名称/值对的字符串，可以随意更改。在VisualStudio调试器的即时窗口中查看Request.Form。

您可以使用像Firefox tamper data插件这样的工具来篡改表单数据。即使没有使用几行代码的工具，修改也很简单。你甚至不需要一个网络浏览器就可以做到这一点

我猜你的讲师只是把POST从IsAdmin=false改成了IsAdmin=true

那么我们该如何防止这种情况呢？

• 验证所有输入。POST/view模型显示IsAdmin=true？好的，打电话的人有权利做那个任务吗？

• 创建视图模型，该模型不公开您不希望更改的属性即使某个属性没有显示在页面上，如果它在请求中，ModelBinder也会绑定它这意味着，即使您没有在页面上放置IsAdmin复选框，如果视图模型包含IsAdmin属性，也可以对其进行设置。

• 您可以选择性地将模型的属性标记为不可绑定，但我通常不建议这样做；太容易忘记了。

另请参见：ASP。NET MVC-〔Bind（Exclude＝"Id"）〕的替代方案