Mass assignment 的核心概念是「框架或程式把 request 欄位自動寫入資料模型」。若沒有輸入白名單,client 可能送入不該由外部控制的欄位。 可先對照 Message Persistence

概念位置

Mass assignment 是 API 輸入邊界問題。它常出現在直接把 JSON body bind 到 ORM model、domain model 或 persistence model 的程式碼中。 可先對照 Message Persistence

可觀察訊號與例子

系統需要防 mass assignment 的訊號是 request body 可以包含內部欄位。註冊 API 若直接綁定 User model,攻擊者可能加入 role: adminemail_verified: true

設計責任

防護要使用輸入 DTO、欄位白名單、policy validation 與測試。外部 request schema 應只包含該操作允許修改的欄位。