<p>1.缺少边界与数据检查的服务端,是坑爹又危险的</p>
<p>2.缺少存储优化,曝露直接文件操作而没有检查的存储权限也是坑爹又危险的</p>
<p>3.当然扯远了这个钓鱼程序的用户安全性=0,我可以任意访问其他用户钓取的账户数据,同样是是坑爹又危险的。</p>
过滤器仅对MVC是授权的 这也意味着 html页 webform页面 并不会被过滤器验证 webform可以使用web.config文件中的anthorization元素确保它们的安全
Authorize(Roles="Administrator,SuperAdmin",Users="Jon,Phil,Brad") Authorize可以指定多个角色和用户
web服务器 缓存服务器 数据库服务器 文件服务器 反向代理服务器 应用服务器
/// <summary>
/// 设置不缓存
/// </summary>
public class CacheAttribute : ActionFilterAttribute
{
public override void OnResultExecuted(ResultExecutedContext filterContext)
{
//filterContext.HttpContext.Response.Headers.Add("Cache-Control", "no-cache");
filterContext.HttpContext.Response.Cache.SetCacheability(HttpCacheability.NoCache);
filterContext.HttpContext.Response.Headers.Add("Pragma", "no-cache");
base.OnResultExecuted(filterContext);
}
}