Рассмотрим типичный контроллер Breeze, который ограничивает результаты запроса объектами, к которым имеет доступ зарегистрированный пользователь. Когда браузер вызывает SaveChanges
, проверяет ли Бриз на сервере, что сущности, зарегистрированные как измененные, из исходного набора?Выполнение ограничений запроса соблюдается во время SaveChanges - Безопасность Breeze
Иными словами, EFContextProvider
(в случае Entity Framework) отслеживает объекты, которые были переданы, поэтому он может проверять вредоносные данные, переданные на SaveChanges
? Или BeforeSaveEntity
необходимо проверить, имеет ли пользователь доступ к измененным объектам?
Связанный, более общий вопрос о защите от вредоносных клиентов: [Обеспечение безопасности бриза на сервере для предотвращения появления вредоносных обновлений для внешних ключей] (http://stackoverflow.com/q/17471823/145173) –