En ASP.NET MVC (enrutamiento por defecto), me gustaría usar una URL como esta para volver una vista con una forma de editar un cliente:Algo más seguro que los campos de formulario ocultos en ASP.NET MVC?
/Customers/Edit/5
Necesito hacer uso de CustomerId=5
, pero no quiero para permitir a un cliente a cambiar Enderece ahora hago el id oculta usando:
<%= Html.Hidden("CustomerId") %>
con esto se logran lo que quiero, pero estoy bajo la impresión de que las variables de formulario ocultos no son seguras y puede ser manipulado por el usuario final.
Entonces, ¿cuál es la mejor manera de permitir que un cliente edite su información pero no su ID?
¡Asegúrese de saltear ese hash, de lo contrario no habrá ganado nada! (Confío en que el libro lo explique con más detalle). – teedyay
Correcto y también supongo que debe enviar el FormCollection a su método de publicación como parámetro para que la comparación pueda ejecutarse en el campo de entrada hash en lugar de simplemente enviar su modelo al método de publicación. Opcionalmente, podría agregar un campo seguro a su modelo para que el valor del hash pueda enviarse y vincularse también a su modelo. – Matt