它的工作正常,但当用户通过Firebug将“productdto.property1”字段名更改为“productdto.property2”时,dto的property2设置将作为客户端请求。同时,我不想知道DTO,但是当我将一个实体映射到页面进行编辑时,客户机可以更改DB记录。
我想用角色保护一些属性。用户无法更改,但管理员可以
有这样的解决办法;
[Secure(Role="Admin")]
public string Property2 { get; set; }
DTO:
public class ProductDTO
{
public string Property1 { get; set; }
public string Property2 { get; set; }
}
在ASPX中:
<%@ Control Language="C#" AutoEventWireup="true" Inherits="System.Web.Mvc.ViewUserControl<CmTest.Web.Controllers.ProductController.ProductFormViewModel>" %>
<% using (Html.BeginForm()) { %>
<%= Html.AntiForgeryToken() %>
<label for="Product_Property1">Property1:</label>
<div>
<%= Html.TextBox("ProductDTO.Property1", (ViewData.Model.ProductDTO != null) ? ViewData.Model.ProductDTO.Property1 : "")%>
</div>
<% } %>
控制器:
[Transaction]
public ActionResult Edit(int id)
{
ProductFormViewModel viewModel = ProductFormViewModel.CreateProductFormViewModel();
viewModel.ProductDTO = productRepository.GetDTO(id);
return View(viewModel);
}
[ValidateAntiForgeryToken]
[Transaction]
[AcceptVerbs(HttpVerbs.Post)]
public ActionResult Edit(ProductDTO productDTO)
{
//debugging
}
public class ProductFormViewModel
{
private ProductFormViewModel() { }
public static ProductFormViewModel CreateProductFormViewModel()
{
ProductFormViewModel viewModel = new ProductFormViewModel();
return viewModel;
}
public ProductDTO ProductDTO { get; internal set; }
}