Выполнение ограничений запроса соблюдается во время SaveChanges - Безопасность Breeze

Question

Рассмотрим типичный контроллер Breeze, который ограничивает результаты запроса объектами, к которым имеет доступ зарегистрированный пользователь. Когда браузер вызывает SaveChanges, проверяет ли Бриз на сервере, что сущности, зарегистрированные как измененные, из исходного набора?

Иными словами, EFContextProvider (в случае Entity Framework) отслеживает объекты, которые были переданы, поэтому он может проверять вредоносные данные, переданные на SaveChanges? Или BeforeSaveEntity необходимо проверить, имеет ли пользователь доступ к измененным объектам?

Answer 1

Вы необходимо защититься от вредоносных данных в ваших BeforeSaveEntity или BeforeSaveEntities методы.

Идея о том, что EFContextProvider будет следить за лицами, которые уже были розданы, вероятно, то, что мы не хотим бы сделать, потому что

• EFContextProvider больше не являются лицами без гражданства, который был целью разработки для облегчения масштабирования.
• Вам все равно нужно защищать от вредоносных данных для «добавленных» объектов в методах BeforeXXX.
• Это действительно допустимый прецедент для некоторых наших пользователей, чтобы «модифицировать» объекты, не задав их сначала.