asp.net MVC 安全性

最新推荐文章于 2023-04-20 16:47:28 发布
最新推荐文章于 2023-04-20 16:47:28 发布
阅读量4k 收藏 2
点赞数
分类专栏: asp.net ASP.NET MVC 文章标签: 安全漏洞 黑客 网络安全 MVC ASP.NET
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhou44129879/article/details/15339589
版权
本文详细介绍了ASP.NET MVC中常见的安全问题及防御措施,包括跨站脚本(XSS)的防御,如HTML编码、使用AntiXSS库;请求伪造(CSRF)的防范,如令牌验证和幂等GET请求;Cookie盗窃的对策,如HttpOnly设置;以及防止重复提交的方法,如使用Bind特性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1. 跨站脚本(XSS)

1.1 介绍

1.1.1 被动注入,利用输入html,javascript 等信息伪造链接,图片等使用提交信息,调转页面等

1.1.2 主动注入,黑客主动参与攻击,不会傻等倒霉的用户上钩


1.2 防御

1.2.1 HTML 编码

Html.Encode

1.2.2 HTML 属性编码

Html.AttributeEncode

1.2.3 url 编码

URL.Encode

1.2.4 java script 编码

Ajax.JavaScriptStringEncode

1.2.5 CSS 编码


1.3 使用AntiXSS的NuGet包

install-package AntiXSS

1.3.1 AntiXss使用的是白名单,而asp.net默认是黑名单,着用AntiXSS的安全性比ASP.NET 高

1.3.2 AntiXss注重安全漏洞, asp.net注重HTML页面的不被破坏

1.3.3 使用

@using Microsoft.Security.Application

@Encoder.JavaScriptEncode();


2.请求伪造(CSPF)

2.1 介绍

 在网站上通过图片链接等伪造银行等机构的请求(混淆代理),例如现在很多银行用的get 请求,url 会在地址栏上显示,这就给了黑客机会,黑客可以通过任何吸引你的内容,让你点击,伪造相同的请求发给银行,正好你银行在登陆状态,就可以转账盗取金钱。

2.2 令牌验证

通过验证用户是否资源提交站点数据来达到防御目的,可以在Html隐藏元素来实现。

MVC 中

@Html.AntiForgeryToken(), 会输出一个加密值作为隐藏元素

在提交表单时,ActionFilter就会验证2个值是否匹配:

[ValidateAntiForgertToken]

public ActionResult Register(..)

2.3 幂等的get 请求

仅通过post 请求来修改数据或内容,就可有效的防御全部伪造攻击。

2.3 HttpReferrer 验证

ActionFilter 来阻止CSRF攻击:

public class IsPostedFromThisSiteAttribute : AuthorizeAttribute
{
public override void OnAuthorize(AuthorizationContext filterContext)
{
if (filterContext.HttpContext != null)
{
if (filterContext.HttpContext.Request.UrlReferrer == null)
throw new System.Web.HttpException("Invalid submission");
if (filterContext.HttpContext.Request.UrlReferrer.Host !=
"mysite.com")
throw new System.Web.HttpException
("This form wasn't submitted from this site!");
}
}
}


然后再Register 上面添加自定义的过滤器

 

[IsPostedFromThisSite]
public ActionResult Register(…)


3.cookie盗窃

3.1 介绍

利用XSS获取用户cookie,用用户的Id登陆目标网站

3.2HttpOnly 阻止

web.config 里设置

<HttpCookies httpOnlyCookies="true" ...>

3.3单独设置httponly

Response.Cookies["MyCookie"].HttpOnly=true;


4.重复提交

4.1 介绍

MVC 尊顺命名约束把输入元素映射到模型属性中,恶意用户可以向查询字符串或提交的表单中添加其他属性(模型中存在,但用户没权操作的属性)来干预表单提交。甚至可以得到其他账户的权限。

4.2 使用bind 特性防御重复提交,下面展示的Product 模型只能映射name 和age 属性。无权操作其他的属性。

[Bind(Include="Name","Age")]

pulbic class Product{

......

}

4.3 使用UpdateModel 后TryUpdataModel 的重载本版接受bind 列表。

UpdateModel(product,"product",new string[] {"Name","Age"} ")

4.4 避免直接绑定试图

使用view model.




Pro ASP.NET MVC 5 (精通ASP.NET MVC5框架) 中文+英文+配套源代码
03-18
ASP.NET MVC 5 是 Microsoft 推出的一款用于构建可伸缩、高性能的 Web 应用程序的框架,它基于模型-视图-控制器(MVC)设计模式,结合了ASP.NET Web Forms 和 ASP.NET Web API 的优势,提供了更现代的开发体验。...
ASP.NET MVC中设置跨域访问问题
10-18
ASP.NET MVC框架中,跨域访问问题是一个常见的开发挑战,主要是由于浏览器的同源策略所限制。同源策略规定,JavaScript只能与相同协议、主机和端口的资源进行交互,以防止恶意脚本跨站执行。然而,在实际应用中,...
ASP.NET MVC应用程序的安全性介绍总括(高级编程)
weixin_34067980的博客
02-27 112
  前言:保护Web应用程序的安全性看起来时间苦差事,这件必须要做的工作并不能带来太多的乐趣,但是为了回避尴尬的安全漏洞问题,程序的安全性通常还是不得不做的。 1.ASP.NET Web Forms开发人员    (1)因为ASP.NET MVC不像ASP.NET Web Forms那样提供了很多自动保护机制来保护页面不受恶意用户的攻击,所以阅读本博客来了解这方面的问题,更明确的说法是:A...
ASP.NET MVC - 安全
Homer
11-23 331
ASP.NET MVC - 安全 为了学习 ASP.NET MVC,我们将构建一个 Internet 应用程序。 第 8 部分:添加安全。 MVC 应用程序安全 Models 文件夹包含表示应用程序模型的类。 Visual Web Developer 自动创建 AccountModels.cs 文件,该文件包含用于应用程序认证的模型。 AccountMo
ASP.NET MVC中的安全性
寒冰屋的专栏
09-06 1185
目录 介绍 认证 表单身份验证 Windows身份验证 如何配置表单身份验证? 我们如何使用Windows身份验证进行身份验 XSS Anti XSS Library 跨站点请求伪造 那问题是什么? 我们怎样才能防止这种情况? 介绍 在本文中,我想解释一些在开发安全的ASP.NET MVC应用程序时应该注意的安全措施。在本文中,我将解释: 认证 授权 XSS CS...
asp.net mvc中的安全性
weixin_30315723的博客
07-30 240
1.重复提交攻击:通过Bind特性指定要绑定和不绑定的值。 2.Cookie盗窃:阻止脚本对站点中Cookie的访问,webconfig文件中添加<HttpCookies domain="" httpOnlyCookies="true" requireSSL="false"> 3.开放重定向:登录重定向是开放重定向攻击的一个目标,用Url.IsLocalURl()方法验证重定向地址...
使用签名来保证ASP.NET MVC OR WEBAPI的接口安全
andy930606的博客
09-22 341
当我们开发一款App的时候,App需要跟后台服务进行通信获取或者提交数据。如果我们没有完善的安全机制则很容易被别用心的人伪造请求而篡改数据。 所以我们需要使用某种安全机制来保证请求的合法。现在最常用的办法是给每个http请求添加一个签名,服务端来验证签名的合法性,如果签名合法则执行响应的操作,如果签名非法则直接拒绝请求。 签名算法 签名算法一般都使用Hash散列算法,常用的有MD5,SH...
ASP.NET MVC5网站开发之美+CMS范例源代码
01-08
6. **身份认证和授权**:ASP.NET MVC5集成了OWIN(开放Web接口.NET)和Katana项目,提供了一套强大的身份认证和授权机制,如OAuth、Cookie认证等,确保应用的安全性。 7. **Entity Framework**:ASP.NET MVC5通常...
ASP.NET MVC5
06-22
C#是ASP.NET MVC5的主要编程语言,它是一种类型安全、面向对象的语言,具有丰富的特性和强大的库支持。在ASP.NET MVC5中,开发者可以使用C#编写控制器、模型和视图的代码,利用LINQ进行数据查询,以及使用各种设计...
asp.net MVC人力资源管理系统源码
04-28
ASP.NET MVC人力资源管理系统源码解析》 ASP.NET MVC是一个基于模型-视图-控制器(MVC)设计模式的Web应用程序框架,由微软公司提供,用于构建可维护性高、可扩展性强的企业级应用。本篇文章将深入探讨利用ASP...
MVC 应用程序的安全性
dianyujiang7819的博客
07-11 177
1、[Authorize]   为控制器设置访问权限。如:角色、用户、角色和用户结合(可以设置一个或多个,中间用逗号隔开)。 如下例:  【角色】  [Authorize(Roles="Administrator,Guest,SuperAdmin")]  【用户】  [Authorize(Users="Jon,Jim,Scott")]  【角色和用户】  [Authorize(Role...
ASP.NET MVC Ajax 请求安全
tomcat的专栏
10-19 2289
1.前言 ASP.NET MVC 应用通过使用AJAX请求来提升用户体验。AJAX请求不会刷新整个页面,用户几乎感知不到请求的发送和处理过程,正是这样,AJAX请求的安全性就十分重要了,如果有人伪造了请求,就很容易对应用进行攻击,从而泄露核心数据,导致安全问题。 2.解决方案 如何确保AJAX请求没有被伪造呢?解决办法就是在AJAX请求发起时传递给后台一个字符串,然后在Filter中进行校验
ASP.NET MVC 网站安全性
m0_54370335的博客
04-14 269
ASP.NET MVC 网站安全性XSS 跨站脚本攻击[CSRF 跨站请求伪造](https://docs.microsoft.com/zh-cn/aspnet/web-api/overview/security/preventing-cross-site-request-forgery-csrf-attacks)Cookie 盗窃重复攻击开放重定向 应用程序的构建基于这样一个假设, 即只有特定用户才能执行某些操作,而其他 用户则不能执行这些操作。 开发人员希望的应用程序使用方式和黑客的使用方式之间有一条不
ASP.NET MVC – 安全简介
Free雅轩的博客
02-25 176
为了学习 ASP.NET MVC,我们将构建一个 Internet 应用程序:添加安全。 MVC 应用程序安全 Models 文件夹包含表示应用程序模型的类。 Visual Web Developer 自动创建 AccountModels.cs 文件,该文件包含用于应用程序认证的模型。 AccountModels 包含 LogOnModel、ChangePasswordModel 和 RegisterModel: Change Password 模型 public class Chang
mvc html安全检测,ASP.NET MVC
weixin_33370255的博客
06-07 140
ASP.NET MVC - 安全为了学习 ASP.NET MVC,我们将构建一个 Internet 应用程序。第 8 部分:添加安全。MVC 应用程序安全Models 文件夹包含表示应用程序模型的类。Visual Web Developer 自动创建 AccountModels.cs 文件,该文件包含用于应用程序认证的模型。AccountModels 包含 LogOnModel、ChangePas...
MVC 安全性 : 重定向
我的左脸像我的右脸
11-12 4925
开放重定向:在mvc login controller 中,登陆会返回一个returnUrl. 下面列举一个案例: 下面的链接中dinner 少一个n, 恶意用户通过邮件或其他形式,让用户点击了如下的链接. http://www.googledinner.com/Account/LogOn?returnUrl=http://www.googlediner.com/Account/Lo
网站开发中Microsoft.Security.Application的使用
05-31 2893
网站开发中程序员要特别处理安全事件,网站安全过滤程序是每个程序员的基本知识,如果你给客户做的网站有漏洞不安全会导致客户资料泄露,重者会造成经济损失。网站漏洞介绍之:xxs脚本跨站漏洞关于微软安全组件Microsoft.Security.Application的使用。搜遍百度也没有找到简单易用的中文说明文档。今天肥城网站建设公司肥城龙山网络管理员,给做网站的程序员们介绍下这个英文组件如何使用。首先是
网络安全,别报!!!
wangluo12138的博客
04-20 393
网络安全究竟要不要报?7年网工如是说
c# asp.net mvc API接口安全过滤,api域名过滤,api域名+端口过滤,权限,鉴权
橙-极纪元-JJYCheng
09-10 1422
背景 我的项目设置了IIS的请求头允许所有域名都可以跨域访问我的API; 但是我又想通过程序控制某些域名不能访问 Web.config代码 <configuration>节点下 <system.webServer>节点 <httpProtocol> <customHeaders> <!--*代表任何人域名都可以访问--> <add name="Access-Control-All..
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值