属性是[Required]可为空的意味着什么?(下面的示例)看来,如果[Required]不能,则不可能null(没有值),如果能够,null则不可能[Required]。
[Required]
null
[Required] public DateTime? OrderDate { get; set; }
使属性为可空并标记有[Required]属性的原因是为了防止发布不足攻击。它还允许您在视图中显示初始空值,而不是属性的默认值。通常,这是通过视图模型中的值类型属性完成的。
发布不足攻击是恶意用户修改请求以忽略请求中的属性值的情况。如果该属性为DateTime(不能为null),则DefaultModelBinder它将初始化其默认值(01/01/0001),并且不会ModelState产生任何错误。结果,该值可能会被保存,即使它不是您期望的值。
DateTime
DefaultModelBinder
01/01/0001
ModelState
如果该属性是DateTime?(nullable)和[Required],则如果恶意用户确实在请求中省略了该属性,则将ModelState生成错误,因为请求中应有一个值,并且将返回视图,因此无效数据将不会被保存。
DateTime?
另请参见Brad Wilson的文章ASP.NET MVC中的输入验证与模型验证以及标题为 “发布不足” 的部分。