ASP.NET 安全续2

最新推荐文章于 2024-09-08 16:00:32 发布
最新推荐文章于 2024-09-08 16:00:32 发布
阅读量405 收藏
点赞数
文章标签: asp.net string cookies encryption forms microsoft
 使用窗体身份验证
        但是只保护.aspx,.asmx,.ashx。但不包括普通的HTML页面或经典asp 页面。
        
Void LogonUser( object  sender, EventArgs e)
 {
    string user = userName.Text;
    string pswd = passWord.Text;
    //Custom authentication
    bool bAuthenticated = AuthenticateUser(user,pswd);
    if (bAuthenticated)
        FormsAuthentication.RedirectFromLoginPage(user,false);
    else
        errorMsg.Text = "Sorry,yours seems not to be a valid account.";
 对用户进行身份验证:   
private   bool  AuthenticateUser( string  username,  string  pswd)
     {
        // Performs authentication here 
        string connString = ConfigurationManager.ConnectionStrings["LocalNWind"].ConnectionString;
        string cmdText = "SELECT COUNT(*) FROM employees WHERE firstname=@user AND lastname=@pswd";

        int found = 0;
        using (SqlConnection conn = new SqlConnection(connString))
        {
            SqlCommand cmd = new SqlCommand(cmdText, conn);
            cmd.Parameters.Add("@user", SqlDbType.VarChar, 10).Value = username;
            cmd.Parameters.Add("@pswd", SqlDbType.VarChar, 20).Value = pswd;
            conn.Open();
            found = (int)cmd.ExecuteScalar();
            conn.Close();
        }
        return (found > 0);
    }
  
 强密码支持:
            
SELECT   COUNT ( * FROM  employees  WHERE
     CAST ( RTRIM (firstname)  AS   VarBinary ) = CAST ( RTRIM ( @user AS   VarBinary )
     AND
     CAST ( RTRIM (lastname)  AS   VarBinary ) =   CAST ( RTRIM ( @paswd AS   VarBinary )
 
窗体身份验证的配置
   1、<forms>节
 
< forms name = " cookies "  loginUrl = " url "  
protection = " All|None|Encryption|Validation "  
timeout = " 30 "  requireSSL = " true|false "  path = " / "
 slidingExpiration = " true|false "  
 enableCrossAppsRedirects = " true|false "
 cookieless = " UseCookies|useUri|AutoDetect|UseDeviceProfile "  defaultUrl = " url "  domain = " string " >
</ forms >
Asp.NET2.0中的无cookie窗体身份验证
      对一个经过身份验证的用户,为他提供服务的页面的URL,遵循如下所示的模式:
http: // YourApp/(F(XYZ1234))/samples/default.aspx
票被正确地编码成一个符合URL标准的字符,并正好插入URL中的服务器名称后面。无cookie身份验证要求用一个ISAPI筛选器来截取该请求,提取票据,并把正确的路径重新写入应用程序。该筛选器还作为另一个请求头提供身份验证票据。使用aspnet_filter.dll组件来解析URL。为了避免混淆,URL中填充的每种额外信息用惟一的限定符进行封装:会话ID用S(...),身份验证票据用F(...)。筛选器提取URL装饰,并把票据信息放入一个名为AspAuthenticationTicket的头中。
  窗体验证是不安全的。1、用户票据以明文的形式发出,SSL可以用来保护通信,但是最终,窗体身份验证和IIS基本身份验证一样弱。所以一个盗取的身份验证cookie只要它有效,那就可以用来计划重放攻击。但是如果使用无cookie解决方案则无法解决此问题。
  窗体身份验证基于程序代码。可以在程序代码级加强身份验证。这可以用Asp.NET2.0的成员资格API来加强。
   所以综上所述,Microsoft的窗体验证方式还是不安全的,尽管可以在代码级加强程序的安全性,但是你的基础是脆弱的,就像楼下开着门,你加固楼上的窗户来防小偷一样的,觉得很可笑的。所以还是要加强对于窗体身份验证的票据的保护的问题。如果使用 cookies可以用缩短其有效期,比如说立即过期来加强;如果不是用cookies,那么既使加密了也是没有办法的,这可以自己做一个加密的的函数来执行。在程序中采用一种计算方法,到那边再进行验证。
anran800
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Asp.net C#断点传Demo
11-22
**Asp.net C# 断点传技术详解** 在Asp.net开发中,断点传是一项重要的功能,尤其对于大文件传输场景,它能够提高用户体验并优化网络资源利用。本Demo基于ASP.NET MVC框架,结合HTML和JavaScript实现了一个基本...
ASP.NET中支持断点传下载大文件(ZT)
10-25
- 在实现断点传下载功能时,为了保证服务的安全性,应该验证传入的文件路径,并且只允许下载指定的文件。应防止任意用户通过构造恶意URL下载敏感文件。 7. 客户端实现: - 虽然文章主要介绍服务器端的实现,但...
ASP.NET超大文件上传和断点传的实现
alisky119的博客
07-30 1044
免费提供视频教程,免费提供开发文档,免费提供原理讲解,免费提供功能讲解,免费教学,免费提供7*24小时技术支持,技术支持包含不限于开发指导,部署指导,远程代码调试,业务逻辑的定制开发指导,比如公司这边有新的功能需求,或者业务定制开发需求,都可以免费提供,或者免费协助。需要提供前端源码,后端源码,控件源码,公司自己的项目,也有自己的产品,后需要集成使用,提供7*24小时技术支持服务,提供文档教程,视频教程,远程技术指导,1对1技术支持服务,提供手机,微信,QQ,邮箱,企业微信等联系方式。
.NET断点
alisky119的博客
09-02 1791
前端:vue2,vue3,vue-cli,html,jquery后端:asp.net,.net core数据库:SQL Server,MySQL,Oracle,达梦,人大金仓,国产数据库功能:大文件上传下载,断点传,文件夹上传下载,加密传输,加密存储,云对象存储该说不说,最近这块挻火的,今天早上又有网友加我微信,实际上我的微信号之前就已经在网上公开了,但是很多网友还是说找不到,这个就真没办法了。
ASP.NET-酒店管理系统
weixin_47778409的博客
06-21 9564
期末考核,使用ASP.NET开发的简单酒店管理系统
ASP.NET上传文件夹的三种解决方案
alisky119的博客
06-28 885
大文件上传解决方案(10G以上),C# 大文件上传解决方案(500M以上),需要在前端,WEB页面中实现大文件,超大文件的上传和下载功能,前端支持WebForm,vue2,vue3,vue-cli,html5,javascript,ASP.NET上传文件夹的三种解决方案,.NET上传文件夹的三种解决方案,ASP.NET文件上传下载,C#.NET上传文件夹的解决方案,.NET大文件上传断点传解决方案,.NET上传超大文件解决方案,8.满足企业多项目,多产品,多终端,多平台,多技术,多框架等应用场景。
ASP.NET中常用的文件上传下载方法
aryasei的专栏
07-04 776
大文件上传解决方案(10G以上),C# 大文件上传解决方案(500M以上),需要在前端,WEB页面中实现大文件,超大文件的上传和下载功能,前端支持WebForm,vue2,vue3,vue-cli,html5,javascript,asp.net 大文件上传解决方案(500M以上),C# 大文件上传解决方案(支持文件夹),C# 大文件上传解决方案(加密传输),C# 大文件上传解决方案(100G以上),C# 大文件上传解决方案(50G以上),C#
ASP.NET教程(
weixin_42657257的博客
05-15 176
基于“ASP.NET教程”的集——MVC教程。ASP.NET 支持三种不同的开发模式:Web Pages(Web 页面)、MVC(Model View Controller 模型-视图-控制器)、Web Forms(Web 窗体)。
ASP.NET运行原理和运行机制
gqk01的博客
09-12 3631
一、ASP.NET运行原理 当一个http请求发送过来并被IIS机收到之后,IIS首先通过你请求的页面类型为其加载相应的dll文件,然后在处理过程中将这条请求发送给能够处理这条请求的模块,而在ASP.NET中这个模块就叫做HttpHandler,为什么aspx这样的文件可以被服务器处理,那是因为在服务器端有默认的HttpHandler专门处理aspx文件,IIS再将这条请求发送给能够处理这条请求的模块之前,还需要经过一些HttpModule,这些都是系统默认的Modules,而且在这个http请求传到Htt
完美解决ASP.NET无法上传大文件方法
alisky119的博客
08-30 1174
前端:vue2,vue3,vue-cli,html,jquery后端:asp.net,.net core数据库:SQL Server,MySQL,Oracle,达梦,人大金仓,国产数据库功能:大文件上传下载,断点传,文件夹上传下载,加密传输,加密存储,云对象存储该说不说,最近这块挻火的,今天早上又有网友加我微信,实际上我的微信号之前就已经在网上公开了,但是很多网友还是说找不到,这个就真没办法了。
ASP.NET 大文件上传解决方案(500M以上)
aryasei的专栏
07-06 883
直接下载下来就能用了。大文件上传解决方案(10G以上),C# 大文件上传解决方案(500M以上),需要在前端,WEB页面中实现大文件,超大文件的上传和下载功能,前端支持WebForm,vue2,vue3,vue-cli,html5,javascript,asp.net 大文件上传解决方案(500M以上),C# 大文件上传解决方案(支持文件夹),C# 大文件上传解决方案(加密传输),C# 大文件上传解决方案(100G以上),C# 大文件上传解决方案(50G以上),C#
ASP.NET编程知识】在ASP.NET中支持断点传下载大文件(ZT)源码.docx
05-21
总之,断点传下载在 ASP.NET 中的实现需要对 HTTP 协议有深入的理解,并且需要编写相应的代码来处理请求和响应,确保文件的正确性和安全性。通过这样的方式,开发者可以创建更加用户友好的大型文件下载体验。
ftp.rar_asp.net ftp_asp.net 文件_asp.net文件下载_ftp_ftp in asp.net
09-24
2. **C# FTP客户端库**:在ASP.NET应用中,可以使用C#的FTP客户端库,如System.Net.FtpClient,与FTP服务器进行通信,执行上传、下载、删除等操作。 3. **身份验证与权限**:为了安全,FTP服务通常需要用户身份验证...
asp.net core分块上传文件示例
10-20
ASP.NET Core 分块上传文件是一种处理大文件上传的策略,它将大文件分割成多个小块,逐个上传,然后再在服务器端将这些分块重新组合成原始文件。这种方式能够有效地处理由于网络不稳定或文件过大导致的传统一次性...
基于 ASP.NET的教材管理信息系统的设计与实现(最新定制开发,阿龙原创设计)✅
程序员阿龙的博客
08-29 1916
​ 博主介绍: ✌我是阿龙,一名专注于Java技术领域的程序员,全网拥有10W+粉丝。作为CSDN特邀作者、博客专家、新星计划导师,我在计算机毕业设计开发方面积累了丰富的经验。同时,我也是掘金、华为云、阿里云、InfoQ等平台的优质作者。通过长期分享和实战指导,我致力于帮助更多学生完成毕业项目和技术提升。 技术范围: 我熟悉的技术领域涵盖SpringBoot、Vue、SSM、HLMT、Jsp、PHP、Nodejs、Python、爬虫、数据可视化、小程序、安卓app、大数据、物联网、机器学习
LiveKit的agent介绍
xsgnzb的专栏
09-05 1365
LiveKit核心概念:​订阅信息流​agent交互流程赋予用户创建房间的权限,在客户的加入并创建房间。客户的指定ws_url和token,加入指定房间。 离开房间 调用 通知 LiveKit 离开事件。如果应用程序在未通知 LiveKit 的情况下关闭,则将继显示参与者在 Room 中 15 秒。Swift上,当应用程序退出时,会自动调用 。客户端通过 API 向房间中的任何参与者发布任意数据消息。房间数据通过 WebRTC 数据通道发布到SFU;LiveKit 服务器会将该数据转发给聊天室中
驱动(RK3588S)第九课时:多节点驱动与函数接口
2401_83971583的博客
09-08 1057
函数功能:做一些控制命令的接口函数头文件:#include <sys/ioctl.h>函数参数:fd:就是 open 打开的文件描述符request:cmd 就是控制的命令函数返回值:成功返回 0 失败返回负数函数功能:做控制的命令函数原型:**long (函数头文件:#include <linux/fs.h>函数参数:fp:保存文件信息结构体cmd:就是你应用层传递过来的命令 — requestarg:暂时不用管函数返回值:成功返回 0 失败负数。
Android课程设计 小吃APP.zip
最新发布
09-08
Android课程设计 小吃APP.zip
ASP.NET 文件下载实现代码示例
"ASP.NET 实现文件下载的代码示例" 在ASP.NET开发中,有时我们需要为用户提供文件下载的功能。以下代码展示了如何在ASP.NET页面中实现这个功能,主要涉及的知识点包括`UrlEncode`方法、`Server.MapPath`方法、`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值