asp.net core安全事项(上)

最新推荐文章于 2022-07-17 14:00:08 发布
最新推荐文章于 2022-07-17 14:00:08 发布
阅读量211 收藏 2
点赞数
文章标签: python java cookie css jwt

  • 隐藏web服务端信息

创建一个asp.net core mcv web项目,运行,F12查看返回信息,如下图,会清晰看到服务端的类型是kestrel.

有时安全检测要求不能显示服务端信息,这样在一定程度上能降低被 攻击的风险,具体代码如下:

    public class Program
    {
        public static void Main(string[] args)
        {
            CreateHostBuilder(args).Build().Run();
        }


        public static IHostBuilder CreateHostBuilder(string[] args) =>
            Host.CreateDefaultBuilder(args)
                .ConfigureWebHostDefaults(webBuilder =>
                {
                    webBuilder.ConfigureKestrel(opt =>
                    {
                       //隐藏服务端信息
                        opt.AddServerHeader = false;
                    });
                    webBuilder.UseStartup<Startup>();
                });
    }

效果如下,kestrel被隐藏起来了。

  • 防止重定向

     [AllowAnonymous]
        [HttpPost("login")]
        public IActionResult Login(string userName,string password,string returnUrl = "/")
        {
            //这里省略n行代码
            return Redirect(returnUrl);
        }

上面代码中,一般验证用户信息后会跳转到一个站内页面,这个时候会带有returnUrl,这个url如果被篡改成其他站点url,就样就会把我们引导到其他站点提供授权信息,从而泄露自己的登录信息,怎么破?如下:

        [AllowAnonymous]
        [HttpPost("login")]
        public IActionResult Login(string userName, string password, string returnUrl = "/")
        {
            //这里省略n行代码
            //return Redirect(returnUrl);


            return LocalRedirect(returnUrl);
            //or
            if (Url.IsLocalUrl(returnUrl))
            {
                return Redirect(returnUrl);
            }
            else
            {
                return Redirect("/error");
            }
        }

  • 登出,登录次数限制

 public async Task<IActionResult> Logout()
 {
      //logout要使登录的cookie失效
      await HttpContext.SignOutAsync(CookieAuthenticationDefaults.AuthenticationScheme);
      return RedirectToAction("Index", "Home");
}

有登录,就要一定要有登出,如果是基于cookie,让客户端cookie清除,如果是jwt,token一定要有过期(或服务端维护状态让其实效)。这样可以有效防止授权信息被别人再利用。

另一方面要设计一定时间内登录错误次数锁定帐户功能,在一定程度上也能减少被攻破的风险。

(未完待续)

dotNET跨平台
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Pro ASP.NET Core 6 Ninth Edition
06-02
Pro ASP.NET Core 6 Develop Cloud-Ready Web Applications Using MVC,Blazor,and Razor Pages -Ninth Edition- Adam Freeman 英文版
asp.net core6 MVC+SQLite例子
01-12
ASP.NET Core 6 MVC+SQLite 示例项目是一个现代Web应用程序开发框架的应用实例,它结合了ASP.NET Core 6的最新特性,MVC(Model-View-Controller)设计模式以及SQLite数据库。这个项目是在Visual Studio 2022环境下...
asp.net core安全事项(中)
dotNET跨平台
01-30 281
上传文件上传文件是造成风险的很大因素,所以对上传文件进行处理是重要的,首先要处理的是:a、上传文件大小限制;b、上传文件类型(能过扩展或,或文件头)限制;c、上传的名称要替换掉;d、上传...
让你的ASP.NET Core应用程序更安全
weixin_30432007的博客
04-19 372
让你的ASP.NET Core应用程序更安全 对于ASP.NET Core应用程序,除了提供认证和授权机制来保证服务的安全性,还需要考虑下面的一些安全因素: CSRF 强制HTTPS 安全的HTTP Headers CSRF ASP.NET Core通过AntiForgeryToken来阻止CSRF攻击,一般来说,当用户做表单提交的时候,表单中隐藏的token也会被提交到服务端,与此同时coo...
关于asp.net core数据安全的思考
赫的BLOG
02-07 396
使用asp.net core进行网站开发的时候,有很多可以选择的前端和后端安全措施,但是有一个要点也需要慎重考虑。 一个要点是网站应该都所有的post和get请求进行必要的权限验证,甚至是重复的多次验证。 很多网站因为没有对post和get请求进行有效的验证,导致了很多安全问题。
.net Core前后端安全
Q_MingTao
09-19 332
作者:秋名 撰写时间:2020 年 9 月 19 日 技术要点:预防前端通过路径传入非法字符到后端,导致数据奔溃,在后台使用try{}catch{}进行捕获非法字符。 使用前端Vue+后台.Net Core3.0+vs2019+SQLserver methods: { getProductById(pid) { var thisVue = this; this.$http .get("https://localhost:44310/api/Products
详解ASP.NET Core Token认证
10-20
ASP.NET Core Token认证是一种安全机制,主要用于身份验证和授权,特别是在单页应用程序(SPA)、移动应用以及现代Web API中。它依赖于令牌(Token),尤其是JSON Web Tokens(JWTs),这些令牌包含了用户的身份信息...
ASP.NET Core安全概述
04-09
ASP.NET Core是微软...综上所述,ASP.NET Core为开发者提供了全面的安全工具和策略,帮助构建安全、可靠的Web应用程序。通过理解并充分利用这些特性,开发者可以确保其应用在面临各种安全威胁时能够得到有效的防护。
asp.net core mvc 搭建的企业网站示例
最新发布
03-22
ASP.NET Core MVC 是微软开发的一款用于构建Web应用程序的框架,它是ASP.NET的最新版本,具有跨平台、高性能和模块化等优点。在这个“asp.net core mvc 搭建的企业网站示例”中,我们将深入探讨如何利用这个强大的...
aspnetcore去掉http头Server信息
weixin_34409741的博客
12-21 1238
2019独角兽企业重金招聘Python工程师标准>>> ...
.NET Core 必备安全措施
weixin_34195364的博客
11-13 270
.NET Core大大简化了.NET应用程序的开发。它的自动配置和启动依赖大大减少了开始一个应用所需的代码和配置量,本文目的是介绍如何创建更安全的.NET Core应用程序。 1.在生产中使用HTTPS传输层安全性(TLS)是HTTPS的官方名称,你可能听说过它称为SSL(安全套接字层),SSL是已弃用的名称,TLS是一种加密协议,可通过计算机网络提供安全通信。其主要目标是确保计算机应用程序之间的...
使用JWTASP.NET CORE令牌身份验证和授权(无Cookie)——第1部分
寒冰屋的专栏
11-18 4079
目录 介绍 JWT(JSON Web令牌) ASP.NET Core中的JWToken配置 用户模型类 创建令牌 第1步 第2步 第4步 令牌存储 中间件 自定义中间件app.Use() 中间件app.UseAuthentication() 自定义中间件代码 登录页面(Index.cshtml) Home控制器 注销(Log Off) 登录演示项目 登录页面 ...
Asp.net Core性能对比Asp.net .net Framework和Java Web Servlet
张国富的专栏
11-17 4633
C#代码: Random w = new Random(); for (int i = 0; i < 50000000; ++i) { double z = w.Next(1, 10) / 3; }Java代码:for (int i = 0; i < 50000000; ++i) { double z = Math.random()*10/ 3; } 测试结果,分别
ASP.NET Core 数据加解密的一些坑
dotNET跨平台
01-16 2548
点击蓝字关注我ASP.NET Core 给我们提供了自带的Data Protection机制,用于敏感数据加解密,带来方便的同时也有一些限制可能引发问题,这几天我就被狠狠...
Asp.Net Core 6 - 概述
pengxingsong
07-17 2310
ASP.NET Core 是运行在 macOS、Linux 和 Windows 上的 ASP.NET 的开放源代码版本。ASP.NET Core 于 2016 年首次发布,是对 ASP.NET 早期仅 Windows 版本的重新设计
.net core自定义授权认证 含3.0及以上版本AllowAnonymous失效解决办法
qq_41974094的博客
10-18 941
新建一个类RequestAuthorizeAttribute 继承IAuthorizationFilter public class RequestAuthorizeAttribute : IAuthorizationFilter{ public void OnAuthorization(AuthorizationFilterContext context){ var descriptor = (Microsoft.AspNetCore.Mvc.Controllers.Controlle
Asp.Net Core安全防护-客户端IP白名单限制
https://github.com/conanl5566
11-20 558
前言 本篇展示了如何在ASP.NET Core应用程序中设置IP白名单验证的2种方式。 你可以使用以下2种方式: 用于检查每个请求的远程 IP 地址的中间件。 MVC 操作筛选器,用于检查针对特定控制器或操作方法的请求的远程 IP 地址。 中间件 Startup.Configure方法将自定义AdminSafeListMiddleware中间件类型添加到应用的请求管道。使用 .NET Core 配置提供程序检索到该安全,并将其作为构造函数参数进行传递。 ...
ASP.NET Core 托管和部署(一)【Kestrel】
极客神殿
02-20 8475
Kestrel 是一个跨平台的适用于 ASP.NET Core 的 Web 服务器。 Kestrel 是 Web 服务器,默认包括在 ASP.NET Core 项目模板中。 Kestrel 支持以下方案: HTTPS 用于启用 WebSocket 的不透明升级 用于获得 Nginx 高性能的 Unix 套接字 HTTP/2(除 macOS† 以外) macOS 的未来版本将支持 †HTTP/2。...
ASP.NET编程知识】ASP.NET Core处理管道的深入理解.docx
05-15
ASP.NET Core 处理管道深入理解 前言 ASP.NET Core的处理管道采用函数式编程模式,与传统的面向对象模式有很大的不同。这种模式的实现简化了代码的逻辑,但对于习惯了面向对象编程而不擅长函数式编程的开发者来说,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值