ASP.Net--成员资格、授权和安全性(一)

原创 2016年08月29日 10:40:16

安全性,无趣却极其重要。。。。。

asp.net mvc不像asp.net web form那样提供了很多自动保护机制来保护页面不受恶意用户的攻击,例如:

①服务器组件对显示的值和特性进行html编码,以帮助阻止xss攻击(跨站脚本攻击,注入恶意的script代码)

②加密和验证视图状态,从而帮助阻止篡改提交的表单。

③请求验证(<% @page validaterequest="true" %>)截获看起来像恶意的数据,并给出警告(这是asp.net mvc 框架默认开启的保护)。

④事件验证帮助阻止注入攻击和提交无效值。

转向 asp.net mvc 意味着这些事情要落到程序员的肩膀上,,,,,,,我的天呐,能不能愉快地玩耍了,,,,,asp.net mvc 对标记和程序的运行提供了更多控制,这意味着程序员要承担更多的责任(责任越大能力越大,自我安慰一下)


程序存在安全隐患,追根溯源还是因为开发人员缺乏足够的信息和理解。但是人无完人,难免会有疏忽的时候,鉴于此,请记住这句话:永远不要相信用户提供的任何数据,永远不要相信用户提供的任何数据,永远不要相信用户提供的任何数据。。。重要的事情说三遍

举一些实际的例子:

①每当渲染作为用户输入而引入数据时,请对其进行编码最常见的做法是使用html编码,但是如果数据作为 特性值显示,就应对其进行html特性编码,如果数据用在JavaScript代

码段中,就应对其进行JavaScript编码。有些时候,需要进行多层编码,如html页面中的JavaScript代码段。

②考虑好网站的那些部分需要匿名访问,那些部分需要认证访问。

③不要试图自己净化用户的html输入,(使用正则表达式或者其他方式)——否则就会失败

④在不需要客户端脚本访问(大部分情况下)cookie时,使用HTTP-only cookie

⑤请记住外部输入不只是显示的表单域,还有url字符串,隐藏的表单域,ajax请求以及我们使用的外部服务等。

⑥建议使用 AntiXss编码器


本 节首先介绍如何使用asp.net mvc 中的安全性来执行像授权这样的应用功能,然后介绍如何处理常见的安全威胁。使用 Authorize特性登录,保护应用程序的第一步,也是最简单的一步,就是登录访问应用程序。authorize attribute是asp.net mvc自带的默认授权过滤器,可以限制用户对操作方法的访问。将该特性应用于控制器上,就能将其快速的应用到改控制器的每个方法上了。



版权声明:本文为博主原创文章,未经博主允许不得转载。

相关文章推荐

asp.net_成员资格与角色管理

  • 2010年12月12日 21:10
  • 1.46MB
  • 下载

asp.net最实用的成员资格

  • 2010年11月13日 22:21
  • 19KB
  • 下载

ASP.net手动配置成员资格Membership提供程序

晕这里图片有问题,请各位移步51cto我的博客镜像。 http://cnjava.blog.51cto.com/1208887/965106 在asp.net中Membership默认会使用sql...

asp.net成员资格与角色管理使用和配置

Web用户与权限管理概述使用ASP.NET网站管理工具使用登录控件自定义成员资格与角色管理 一、Web用户与权限管理概述 ASP.NET身份验证方式(在实际的Web项目...
  • Pastxu
  • Pastxu
  • 2011年11月27日 21:30
  • 599

演练:ASP.NET控件实现 创建具有成员资格和用户登录功能的网站

.NET Framework 4 其他版本 7(共 7)对本文的评价是有帮助 - 评价此主题 网站的一个典型要求是,只...

ASP.NET网站性能优化之成员资格,角色,配置文件的优化

本文讨论在使用 ASP.NET 成员资格、角色、配置文件属性、会话状态、Web 部件个性化设置和站点导航时的性能优化。 成员资格 有效地收集成员资格列表 在调用 Membership...

第7章 成员资格、授权(Authorize、ASP.NET Identity、OAuth和OpenID的外部登录)和安全性

[Authorize] 特性、ASP.NET Identity、OAuth和OpenID是开放的授权标准、跨站脚本 (XSS)、跨站请求伪造(CSRF)、阻止cookie盗窃、重复提交 、开放重定向...

ASP.NET Forms Authentication所生成Cookie的安全性

asp.net forms authentication所生成cookie的安全性 我做这个实验是因为http://community.csdn.net/expert/topic/3927/3927...

启用和自定义 ASP.NET Web API 服务的安全性

 启用和自定义 ASP.NET Web API 服务的安全性                         对于最常见的场景 — Web 页面中的 JavaScript 访问同一站点上...
  • nic7968
  • nic7968
  • 2014年08月29日 02:16
  • 423

ASP.NET 安全性

ASP.NET 安全性   发布日期: 09/30/2004 | 更新日期: 09/30/2004   浏览全部的安全性指导主题 Microsoft Corporation ...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:ASP.Net--成员资格、授权和安全性(一)
举报原因:
原因补充:

(最多只允许输入30个字)