【第22期】观点:IT 行业加班,到底有没有价值?

ASP.Net--成员资格、授权和安全性(一)

原创 2016年08月29日 10:40:16

安全性,无趣却极其重要。。。。。

asp.net mvc不像asp.net web form那样提供了很多自动保护机制来保护页面不受恶意用户的攻击,例如:

①服务器组件对显示的值和特性进行html编码,以帮助阻止xss攻击(跨站脚本攻击,注入恶意的script代码)

②加密和验证视图状态,从而帮助阻止篡改提交的表单。

③请求验证(<% @page validaterequest="true" %>)截获看起来像恶意的数据,并给出警告(这是asp.net mvc 框架默认开启的保护)。

④事件验证帮助阻止注入攻击和提交无效值。

转向 asp.net mvc 意味着这些事情要落到程序员的肩膀上,,,,,,,我的天呐,能不能愉快地玩耍了,,,,,asp.net mvc 对标记和程序的运行提供了更多控制,这意味着程序员要承担更多的责任(责任越大能力越大,自我安慰一下)


程序存在安全隐患,追根溯源还是因为开发人员缺乏足够的信息和理解。但是人无完人,难免会有疏忽的时候,鉴于此,请记住这句话:永远不要相信用户提供的任何数据,永远不要相信用户提供的任何数据,永远不要相信用户提供的任何数据。。。重要的事情说三遍

举一些实际的例子:

①每当渲染作为用户输入而引入数据时,请对其进行编码最常见的做法是使用html编码,但是如果数据作为 特性值显示,就应对其进行html特性编码,如果数据用在JavaScript代

码段中,就应对其进行JavaScript编码。有些时候,需要进行多层编码,如html页面中的JavaScript代码段。

②考虑好网站的那些部分需要匿名访问,那些部分需要认证访问。

③不要试图自己净化用户的html输入,(使用正则表达式或者其他方式)——否则就会失败

④在不需要客户端脚本访问(大部分情况下)cookie时,使用HTTP-only cookie

⑤请记住外部输入不只是显示的表单域,还有url字符串,隐藏的表单域,ajax请求以及我们使用的外部服务等。

⑥建议使用 AntiXss编码器


本 节首先介绍如何使用asp.net mvc 中的安全性来执行像授权这样的应用功能,然后介绍如何处理常见的安全威胁。使用 Authorize特性登录,保护应用程序的第一步,也是最简单的一步,就是登录访问应用程序。authorize attribute是asp.net mvc自带的默认授权过滤器,可以限制用户对操作方法的访问。将该特性应用于控制器上,就能将其快速的应用到改控制器的每个方法上了。



版权声明:本文为博主原创文章,未经博主允许不得转载。 举报

相关文章推荐

浅谈web服务器安全

这里说的漏洞都是管理员配置错误导致的漏洞。1、目录的权限要设置合理。否则会导致web用户可以浏览任意目录。工具:web资源管理器 http://blog.csdn.net/iuhxq/archive/...
  • iuhxq
  • iuhxq
  • 2005-01-18 09:26
  • 1793

阿里服务器安全

最近我们要把阿里云上面的数据库搞成没有外网IP,只有内网IP的,这样我们的数据就比现在安全了。提交了工单后,阿里客服给我们的反馈就是配置安全组来实现外网IP不可以访问。之前没有接触过安全组,研究了一下...

程序员升职加薪指南!还缺一个“证”!

CSDN出品,立即查看!

Windows Internet服务器安全配置

原理篇我们将从入侵者入侵的各个环节来作出对应措施一步步的加固windows系统.加固windows系统.一共归于几个方面1.端口限制2.设置ACL权限3.关闭服务或组件4.包过滤5.审计我们现在开始从...

服务器安全基础知识

这里我说一下服务器安全知识吧,虽然我很早之前想过要搞黑客技术,但是因为种种原因我最终也没有搞黑客技术,不过我还是很关心安全领域的。 很早之前我搭建服务器只是为了测试我所学的知识,安全没有...

移动应用与API 服务器之间的安全通信解决方法

最近接触到了移动端API开发的问题,为了确保应用与API 服务器之间的安全通信,防止数据篡改等恶意攻击,和同事探讨出此验证方法: 首先向移动端应用分配APP_ID(int) ,APP_KEY(32位随...

Windows网络服务器安全配置

原理篇  我们将从入侵者入侵的各个环节来作出对应措施,一步步的加固windows系统.加固windows系统.一共归于几个方面  1.端口限制  2.设置ACL权限  3.关闭服务或组件  4.包过滤...
  • kouf
  • kouf
  • 2005-10-18 21:53
  • 770

SSO单点登录使用token机制来验证用户的安全性

登录的业务逻辑 {     http:是短连接.           服务器如何判断当前用户是否登录?          // 1. 如果是即时通信类:长连接.     // 如何保证服...

[.NET 基于角色安全性验证] 之四:ASP.NET 2.0 成员资格和角色管理授权

从严格意义上来说,ASP.NET 2.0 的成员资格、角色管理授权和 .NET 角色安全性没有多大关系。只不过,Microsoft 替我们完成了一些原本需要我们自己进行的工作而已。在这两种新的技术中使...

ASP.NET MVC 4高级编程(第4版)

《ASP.NET MVC 4高级编程(第4版)》 基本信息 作者: (美)Jon Galloway Phil Haack Brad Wilson K. Scott Allen 译者: 孙远帅 邹权 丛书名: .NET开发经典名著
收藏助手
不良信息举报
您举报文章:深度学习:神经网络中的前向传播和反向传播算法推导
举报原因:
原因补充:

(最多只允许输入30个字)