Согласно Veracode, наше приложение несколько сотен раз обнаруживали "недостатки" CWE-ID 100, связанные с специфическими технологическими проблемами проверки ввода.
Согласно их документам, исправление заключается в проверке свойства ModelState.IsValid
в модели перед его использованием. Мы делаем это при каждом действии контроллера, но мы все еще звоним. Ниже приведен пример действия контроллера.
public async Task<ActionResult> DeliverySummary (ReportsViewModel Model)
{
if (ModelState.IsValid)
{
/* Other processing occurs here */
//finally return View
return View(Model);
}
else
{
return View();
}
}
У нас есть System.ComponentModel.DataAnnotations
в свойствах нашей модели.
Кто-нибудь когда-нибудь сталкивался с этим?