这可能是一个更简单的解决方案。如何定义一个额外的约束,如果POST数据包含任何
informations[%d].securedField值,该约束将触发验证失败?
import javax.validation.constraints.Null;public static class Information { @Null public String securedField; ...}我认为,通过这种方法,您可以调用默认
bindFromRequest方法,而不是接受表单字段名称白名单的方法,并且仍然可以防止大规模分配攻击。
公认的是,这种方法的一个缺点是,如果发生大规模的大规模分配攻击,它将最终泄漏您内部字段的名称。但是,如果他们的名字平淡无味,例如
securedField(无意冒犯!)之类的毫无意义的名称,我不确定攻击者如何利用此信息。
编辑
如果要允许基于当前用户类型分配给该字段,那么bean验证组可能会有所帮助:
import javax.validation.constraints.Null;public class Contact { public interface Administrator {} public interface User {} ... public class Information { @Null(groups = User.class) public String securedField; ... }}控制器代码
...final Form<Contact> contactForm;if (currentUser.isAdministrator()) { contactForm = form(Contact.class, Administrator.class).bindFromRequest();} else { contactForm = form(Contact.class, User.class).bindFromRequest();}...
