开发Web应用程序应注意的安全

写Web开发时,很多时候会忽略到安全性问题。
以个人在实施工程时比较多用到的安全技术作为探讨吧。

1.SQL injection
这个已经是老话题了。但在很多时候自己写程序的时候也会偶而出现这样的问题。因为这样的注入式攻击在一个程序中是可以说潜在的可能性是随项目工程的越大而越多的。
解决的方法是:
严格的控制用户的输入,对数据的进行严格的控制。其中包括有用户字符输入,数据表单的验证及防止刻意的篡改参数。
如:多用ADO.net的API。存储过程等。

2.跨站脚本执行
把用户提交的HTML标签转换为HtmlEncode。
如:Label1.Text=Server.HtmlEncode(feedback.Text)
这样可以把像<script></script>这样的脚本给确保替换。

3.__VIEWSTATE
对于ASP.net来说,__VIEWSTATE是记录页面的数据信息的。这程数据是用Base64加密的。我们需要对它进行严格的验证。
解决方法:
修改Web.config:
<pages buffer="true" enableSessionState="true" enableViewState="true" enableViewStateMac="true" autoEventWireup="true" validateRequest="true"></pages>

<machineKey validationKey="AutoGenerate" decryptionKey="AutoGenerate,IsolateApps" validation="SHA1" />

4.验证
对于身份验证和目录安全严格验证。
如:用Web.config的Form验证。对目录、身份、操作权限等严格控制。

5.错误处理
禁止在程序错误时返回给用户程序内容等敏感信息。
如:在Web.config中把<customErrors>修改为
<customErrors mode="On" defaultRedirect="Error.htm"/>

6.Web service
禁用没用的Web service。禁止自动生成WSDL
==============

以上只是对单个Web application的安全做简单的设置。如需配置一个完好的环境所涉及更多更广。

具体的安全配置参考文献: 
http://www.microsoft.com/china/technet/security/guidance/secmod92.mspx  
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值