ASP.NET MVC 网站安全性

最新推荐文章于 2022-02-25 10:21:40 发布
最新推荐文章于 2022-02-25 10:21:40 发布
阅读量187 收藏
点赞数
分类专栏: ASP.NET MVC 文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_54370335/article/details/115684356
版权

ASP.NET MVC 网站安全性

应用程序的构建基于这样一个假设, 即只有特定用户才能执行某些操作,而其他 用户则不能执行这些操作。 开发人员希望的应用程序使用方式和黑客的使用方式之间有一条不可逾越的鸿沟。

XSS 跨站脚本攻击

HTML 与 Javascript 注入

防御策略:

  1. HTML 编码 @Html.Encode
  2. Javascript 编码 @Ajax.JavaScriptStringEncode
  3. 使用 AntiXss 库

CSRF 跨站请求伪造

被害人在浏览器中登录受信站点 A,验证通过并在浏览器产生 Cookie,在未退出站点的情况下打开风险网站 B,风险网站 B 向受信站点 A 发起请求,由于浏览器会自动附加 Cookie,所以请求会按被害人的权限进行处理。

CSRF 示例:
以下演示对政务 BingHandTree 接口(POST类型,包含身份验证)进行请求,使用注释部分代码即可在页面加载时提交,使被害人无法察觉:

<html>
<head>
    <script type="text/javascript">
        //function steal() {
        //    document.getElementById("steal").submit();
        //}
    </script>
</head>

<!--<body οnlοad="steal()">
    <form id="steal" method="POST" name="transfer" action="http://localhost/website/Case/BingHandTree" style="display:none">-->
<body>
    <form id="steal" method="POST" name="transfer" action="http://localhost/website/Case/BingHandTree">
        流程编号(PID):<input type="text" name="PID" value="11523" /><br />
        移交方向(HandDirect):<input type="text" name="HandDirect" value="1" /><br />
        回退节点(RebackAID):<input type="text" name="RebackAID" value="-1" /><br />
        显示用户(ShowUser):<input type="text" name="ShowUser" value="0" /><br />
        <input type="submit" value="确定" />
    </form>
</body>
</html>

防御策略:

  1. 验证来源地址 Request.UrlReferrer
  2. 防伪令牌 @Html.AntiForgeryToken()

Cookie 盗窃

利用 XSS 漏洞盗取 Cookie。

防御策略:

  • 禁止 Javascript 操作 Cookie Response.Cookies[“Sample”].HttpOnly = true;

重复攻击

后台接口接收一个对象时,向提交参数中加入这个对象类型包含的属性,来提交额外的参数。

防御策略:

  1. 使用模型绑定 BindAttribute
  2. 自定义视图模型

开放重定向

利用登录重定向的原理,通过诱导被害人点击包含危险地址的重定向链接,使用户通过登录认证后进入危险网站。

防御策略:

  • 验证重定向链接 Url.IsLocalUrl(returnUrl)
ChenQian_Net
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
asp.net MVC 安全性
我的左脸像我的右脸
11-11 4005
1. 跨站脚本(XSS) 1.1 介绍 1.1.1 被动注入,利用输入html,javascript 等信息伪造链接,图片等使用提交信息,调转页面等 1.1.2 主动注入,黑客主动参与攻击,不会傻等倒霉的用户上钩 1.2 防御 1.2.1 HTML 编码 Html.Encode 1.2.2 HTML 属性编码 Html.AttributeEncode 1.2.3 url
ASP.NET MVC5
06-22
C#是ASP.NET MVC5的主要编程语言,它是一种类型安全、面向对象的语言,具有丰富的特性和强大的库支持。在ASP.NET MVC5中,开发者可以使用C#编写控制器、模型和视图的代码,利用LINQ进行数据查询,以及使用各种设计...
ASP.NET MVC - 安全
Homer
11-23 285
ASP.NET MVC - 安全 为了学习 ASP.NET MVC,我们将构建一个 Internet 应用程序。 第 8 部分:添加安全。 MVC 应用程序安全 Models 文件夹包含表示应用程序模型的类。 Visual Web Developer 自动创建 AccountModels.cs 文件,该文件包含用于应用程序认证的模型。 AccountMo
asp.net mvc中的安全性
weixin_30315723的博客
07-30 213
1.重复提交攻击:通过Bind特性指定要绑定和不绑定的值。 2.Cookie盗窃:阻止脚本对站点中Cookie的访问,webconfig文件中添加<HttpCookies domain="" httpOnlyCookies="true" requireSSL="false"> 3.开放重定向:登录重定向是开放重定向攻击的一个目标,用Url.IsLocalURl()方法验证重定向地址...
ASP.NET MVC – 安全简介
Free雅轩的博客
02-25 135
为了学习 ASP.NET MVC,我们将构建一个 Internet 应用程序:添加安全。 MVC 应用程序安全 Models 文件夹包含表示应用程序模型的类。 Visual Web Developer 自动创建 AccountModels.cs 文件,该文件包含用于应用程序认证的模型。 AccountModels 包含 LogOnModel、ChangePasswordModel 和 RegisterModel: Change Password 模型 public class Chang
ASP.NET MVC Ajax 请求安全
tomcat的专栏
10-19 2250
1.前言 ASP.NET MVC 应用通过使用AJAX请求来提升用户体验。AJAX请求不会刷新整个页面,用户几乎感知不到请求的发送和处理过程,正是这样,AJAX请求的安全性就十分重要了,如果有人伪造了请求,就很容易对应用进行攻击,从而泄露核心数据,导致安全问题。 2.解决方案 如何确保AJAX请求没有被伪造呢?解决办法就是在AJAX请求发起时传递给后台一个字符串,然后在Filter中进行校验
mvc html安全检测,ASP.NET MVC
weixin_33370255的博客
06-07 82
ASP.NET MVC - 安全为了学习 ASP.NET MVC,我们将构建一个 Internet 应用程序。第 8 部分:添加安全。MVC 应用程序安全Models 文件夹包含表示应用程序模型的类。Visual Web Developer 自动创建 AccountModels.cs 文件,该文件包含用于应用程序认证的模型。AccountModels 包含 LogOnModel、ChangePas...
ASP.NET MVC中设置跨域访问问题
10-18
ASP.NET MVC框架中,跨域访问问题是一个常见的开发挑战,主要是由于浏览器的同源策略所限制。同源策略规定,JavaScript只能与相同协议、主机和端口的资源进行交互,以防止恶意脚本跨站执行。然而,在实际应用中,...
ASP.NET MVC4通用企业门户网站源码solver.zip
09-21
9. **安全性**:源码可能涉及到用户身份验证、角色管理和权限控制,确保网站安全性。 10. **国际化和本地化**:对于通用的企业门户网站,源码可能包含多语言支持,以便服务不同地区的用户。 通过学习和理解这个...
一个完整的asp.net mvc架构网站实例
03-13
ASP.NET MVC(Model-View-Controller)是一种广泛用于构建Web应用程序的设计模式,尤其在Microsoft的.NET...此外,实例还可能包含错误处理、日志记录、安全性控制等方面的内容,帮助你全面掌握ASP.NET MVC开发技术。
asp.net Request获取url信息的各种方法比较
01-01
本页地址: Request.URL; 上页地址: 代码如下: Request.UrlReferrer Request.ServerViables[“http_referer”] Request.RawUrl Request.RawUrl.QueryAndPath System.IO.Path.GetFileName(Request.FilePath.ToString()) 在ASP.NET编程中经常需要用Request获取url的有关信息,Request中有多种方法获取 url信息,但我经常忘了各种方法的具体作用,今天我就写了个测试程序,将各种方法得到的结果列出来,以后用时直接参考一下就行
ASP.NET MVC4
06-09
ASP.NET MVC4是一个基于模型-视图-控制器(Model-View-Controller)设计模式的开源Web应用程序框架,由微软开发。这个框架为开发者提供了一种结构化的、灵活的方式来构建高效且可测试的Web应用。本教程是全英文的,...
MVC站点安全开发
weixin_30291791的博客
11-15 46
一、XSS攻击   默认情况下,从@表达式生成的所有文本都是HTML编码过的,但由于某些情况下要显示HTML文本时,必须对于进行白名单过滤。  使用微软的HtmlSanitizationLibrary.Dll库进行白名单过滤  Sanitizer.GetSafeHtmlFragment(InputHtml); 二、SQL注入   对所有的SQL语句及参数进行全面的过滤 三、防止CSRF(...
asp.net MVC 常见安全问题及解决方案
qq_38472574的博客
07-08 83
asp.net MVC 常见安全问题及解决方案
.net mvc 获取iis基本登录网站登录账号_二,网络安全Chrome浏览器保留密码功能渗透解析及登录
weixin_39889214的博客
11-14 435
一.用户登录明文与加密浅析浏览器开发模式通常可以查看源代码,以简书为例,在 登录页面 输入用户名和密码,然后右键“检查”或“审查元素”。运行结果如下所示,点击“Network”选择页面能查看消息头Headers及状态信息、Cookies或Sessions。这是开发者常用的分析方法,尤其是网络爬虫,需要审查元素定位所需信息的HTML源码。下图展示了作者输入的用户名及密码,这里的密码是明文显示的。而有...
Asp.net Mvc中利用ValidationAttribute实现xss过滤
mituan1234567的专栏
06-11 488
http://www.2cto.com/kf/201404/293640.html 在网站开发中,需要注意的一个问题就是防范XSS攻击,Asp.net mvc中已经自动为我们提供了这个功能。用户提交数据时时,在生成Action参数的过程中asp.net会对用户提交的数据进行验证,一旦发现提交的数据中包含了XSS攻击的代码,就会抛出异常,用户在这时候就会看到一个出错页面。这种默认的行为保证了网
ASP.NET MVC 页面使用富文本控件的XSS漏洞问题
weixin_33796177的博客
04-07 191
目前在做的项目存在XSS安全漏洞! 原因是有一些页面使用了富文本编辑框,为了使得其内容可以提交,为相关action设置了[ValidateInput(false)] 特性: [HttpPost] [ValidateInput(false)] public ActionResult MailPreview(FormColle...
ASP.NET MVC中的安全性
寒冰屋的专栏
09-06 1096
目录 介绍 认证 表单身份验证 Windows身份验证 如何配置表单身份验证? 我们如何使用Windows身份验证进行身份验 XSS Anti XSS Library 跨站点请求伪造 那问题是什么? 我们怎样才能防止这种情况? 介绍 在本文中,我想解释一些在开发安全的ASP.NET MVC应用程序时应该注意的安全措施。在本文中,我将解释: 认证 授权 XSS CS...
ASP.NET MVC WebAPI 接口加密实战指南
总结来说,这个ASP.NET MVC WebAPI接口加密方法示例提供了在不使用复杂安全协议的情况下,如何增强API安全性的一个实例。通过结合时间戳、随机数、密钥和参数加密,可以有效地提高接口的安全级别,防止数据被非法...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值