J'essaye de configurer un formulaire d'édition pour mon objet User
. J'ai une liaison automatique du formulaire à l'objet utilisateur qui fonctionne bien.Spring MVC 3 - Liaison des paramètres à l'objet de support
Je me demande comment puis-je empêcher les utilisateurs malveillants de se lier aux champs de mon objet User
que je ne veux pas? Par exemple, mon objet utilisateur a userName
et points
. Quand ils cliquent sur modifier l'utilisateur, je veux qu'ils puissent changer le userName
, mais pas le points
. Un utilisateur malveillant peut simplement envoyer un points=429429
supplémentaire en tant que champ masqué dans le formulaire en modifiant le code HTML, ce qui sera automatiquement lié à l'objet de sauvegarde par Spring.
Voir votre question précédente, ils font exactement cette chose avec le champ 'id' utilisant' @ méthode InitBinder' annotée: http://stackoverflow.com/questions/2232095/spring-form-handling-mapping-an-entity-to-form-inputs – axtavt
Bon commentaire, la chose @initbinder est ce que je cherchais. Je l'accepterais comme réponse si je le pouvais. – Kyle