![属性为[Required]并且可为空意味着什么?](http://www.mshxw.com/aiimages/31/402899.png "属性为[Required]并且可为空意味着什么?")
使属性为可空并标记有
[Required]属性的原因是为了防止发布不足攻击。它还允许您在视图中显示初始空值,而不是属性的默认值。通常,这是通过视图模型中的值类型属性完成的。
发布不足攻击是恶意用户修改请求以忽略请求中的属性值的情况。如果该属性为
DateTime(不能为null),则
DefaultModelBinder它将初始化其默认值(
01/01/0001),并且不会
ModelState产生任何错误。结果,该值可能会被保存,即使它不是您期望的值。
如果该属性是
DateTime?(nullable)和
[Required],则如果恶意用户确实在请求中省略了该属性,则将
ModelState生成错误,因为请求中应有一个值,并且将返回视图,因此无效数据将不会被保存。
另请参见Brad Wilson的文章ASP.NET
MVC中的输入验证与模型验证以及标题为 “发布不足” 的部分。
