asp.net core安全事项(中)

最新推荐文章于 2024-05-16 11:29:04 发布
最新推荐文章于 2024-05-16 11:29:04 发布
阅读量285 收藏
点赞数
文章标签: csrf java upload hadoop stream

  • 上传文件

上传文件是造成风险的很大因素,所以对上传文件进行处理是重要的,首先要处理的是:a、上传文件大小限制;b、上传文件类型(能过扩展或,或文件头)限制;c、上传的名称要替换掉;d、上传的文件要在专用区域(如果能设置权限最好)最好。

[HttpPost("/files")]
public async Task<IActionResult> Files(List<IFormFile> files)
{
      //要据上传文件的特征,一定要验证用户上传文件的可信度
      var size = files.Sum(f => f.Length);
      foreach (var formFile in files)
      {
           //扩展名
           var extension = Path.GetExtension(formFile.FileName);
           var filePath = $"{Directory.GetCurrentDirectory()}/uploadfiles/{DateTime.Now.ToString("yyyyMMddHHmmss")}{extension}";
           if (formFile.Length > 0)
           {
               var extesion = Path.GetExtension(formFile.FileName);
               var stream = new FileStream(path: filePath, mode: FileMode.Create);
               await formFile.CopyToAsync(stream);
            }
        }
        return Ok(new { count = files.Count, size });
}

  • sql注入

sql注入的处理很多ORM都 有对应的解决方案,但有些时候,代码检查工具会把一些非注入的场景检测成注入的情况,要尽量sql语句拼接,一定以参数据形式代入,这样不但能避免注入,还能让检测工具通过。

  • 防止跨站点请求伪造

    在asp.net core中的防跨站点伪就是在服务端生成一个字符串,提交到后台时验证这个串是否正确,正确就通过,说明是同一站点,否则为不信任站点提交。

    配置防跨站点伪造配置

        public void ConfigureServices(IServiceCollection services)
        { 


            #region 5、防止跨站点请请求伪造xsrf/csrf
            //防止跨站点请请求伪造xsrf/csrf
            //ajax提交时,需要自定义Head时使用
            services.AddAntiforgery(options =>
            {
                options.FormFieldName = "AntiforgeryGSW";
                options.HeaderName = "X-CSRF-TOKEN-gsw";
                options.SuppressXFrameOptionsHeader = false;
            });
            //省略n行人码
       }

在对应的controller上应用防跨站点伪造特性

    [AutoValidateAntiforgeryToken]//不会应用于get,head,options,trace
    public class HomeController : Controller
    {
    }

客户商在form表单 用应用

<form action="login" method="post">
   @Html.AntiForgeryToken()
<form>

在ajax中应用

<script>
        function add() {
            $.ajax({
                type: "POST",
                contentType: "application/json",
                headers: {
                    'X-CSRF-TOKEN-gsw': $("[name='AntiforgeryGSW']").val()
                },
                url: "/csrf",
                dataType: 'json',
                data: JSON.stringify({ "ID": 112, "Name": "李四" }),
                success: function (data) {
                    console.log(data);
                },
                error: function (err) {
                    console.log(err);
                },
                complete: function (XMLHttpRequest, status) { //请求完成后最终执行参数 
                }
            })
        }
</script>
dotNET跨平台
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ASP.NET Core 3.1文教程.pdf
08-12
ASP.NET Core 3.1 文教程 ASP.NET Core 是 Microsoft 开发的一款免费、开源的 Web 应用程序框架,适用于开发跨平台的 Web 应用程序。本文档提供了 ASP.NET Core 3.1 的文使用手册,涵盖了ASP.NET Core 的各种...
Pro ASP.NET Core 6 Ninth Edition
06-02
Pro ASP.NET Core 6 Develop Cloud-Ready Web Applications Using MVC,Blazor,and Razor Pages -Ninth Edition- Adam Freeman 英文版
asp.net core安全事项(上)
dotNET跨平台
01-26 211
隐藏web服务端信息创建一个asp.net core mcv web项目,运行,F12查看返回信息,如下图,会清晰看到服务端的类型是kestrel.有时安全检测要求不能显示服务端信息,这...
.NET Core 必备安全措施
weixin_34195364的博客
11-13 273
.NET Core大大简化了.NET应用程序的开发。它的自动配置和启动依赖大大减少了开始一个应用所需的代码和配置量,本文目的是介绍如何创建更安全的.NET Core应用程序。 1.在生产使用HTTPS传输层安全性(TLS)是HTTPS的官方名称,你可能听说过它称为SSL(安全套接字层),SSL是已弃用的名称,TLS是一种加密协议,可通过计算机网络提供安全通信。其主要目标是确保计算机应用程序之间的...
C#Task各个返回值
最新发布
m0_74772114的博客
05-16 579
返回值类型
ASP.NET Core 基础知识】--安全性--防范常见攻击
喵叔
02-14 1752
文章通过介绍常见的网络安全威胁,如跨站脚本(XSS)、SQL注入、CSRF等,并提供了相应的防御机制和实践建议。文章首先明确了不同攻击类型的原理和风险,然后详细解释了在ASP.NET Core如何应对这些攻击,包括输入验证、输出编码、Content Security Policy(CSP)等防御措施。此外,文章还强调了敏感数据泄露的严重性,并提出了相应的保护措施。总的来说,本文全面解析了ASP.NET Core防范常见攻击的重要性和方法,为开发人员提供了有益的指导和实践经验。
asp.net core安全事项(下)
dotNET跨平台
02-02 195
越权越权是非常严重的安全漏洞,通常状态是开发人员对请求的限制逻辑不严格导致的。如果系统有角色的概念,越权可能出现不同角色间的越权和同角色间的越权。相同角色:A用户,B用户是相同的角色。...
关于asp.net core数据安全的思考
赫的BLOG
02-07 398
使用asp.net core进行网站开发的时候,有很多可以选择的前端和后端安全措施,但是有一个要点也需要慎重考虑。 一个要点是网站应该都所有的post和get请求进行必要的权限验证,甚至是重复的多次验证。 很多网站因为没有对post和get请求进行有效的验证,导致了很多安全问题。
asp.net core6 MVC+SQLite例子
01-12
3. **Entity Framework Core**:ASP.NET Core的EF Core是一个轻量级、高性能的对象关系映射(ORM),它可以让我们以声明性方式处理数据库操作。 4. **迁移(Migrations)**:使用`Add-Migration`和`Update-...
ASP.NET Core MVC从入门到精通系列文章PDF版
06-30
2. **ASP.NET Core MVC**:是ASP.NET Core的MVC实现,它提供了更轻量级、高性能的Web开发框架,支持.NET Core和.NET Framework,具备跨平台能力。 3. **项目创建和启动**:通过Visual Studio或命令行工具如dotnet...
详解ASP.NET Core Token认证
10-20
ASP.NET Core Token认证是一种安全机制,主要用于身份验证和授权,特别是在单页应用程序(SPA)、移动应用以及现代Web API。它依赖于令牌(Token),尤其是JSON Web Tokens(JWTs),这些令牌包含了用户的身份信息...
ASP.NET Core 基础知识】--安全性--SSL和HTTPS配置
喵叔
02-16 1968
本文从SSL和HTTPS的基础知识讲起,然后。
.Net Core 微服务实战 - 安全
睡在上铺的猴
10-11 302
防跨站请求伪造 防开放重定向攻击 防跨站脚本 跨域请求 CORS
学习ASP.NET Core Razor 编程系列十三——文件上传功能(一)
weixin_34291004的博客
06-29 148
  学习ASP.NET Core Razor 编程系列目录 学习ASP.NET Core Razor 编程系列一 学习ASP.NET Core Razor 编程系列二——添加一个实体  学习ASP.NET Core Razor 编程系列三——创建数据表及创建项目基本页面 学习ASP.NET Core Razor 编程系列四——Asp.Net Core Razor列表模板页面 学习ASP...
如何使用 .NET Core 安全地加/解密文件
dotNET跨平台
03-18 576
前言由于客户网络安全限制,连接到互联网的设备不能访问内网。需要先从客户端应用导出数据到文件,再将文件复制到U盘,最后通过内网机器上传数据。如何保证,在复制、传输过程,文件的安全性?思路...
.NET Core学习——安全和身份
Abbey_qi的博客
11-22 196
更新。。。 安全性是任何现代 Web 应用或 API 都要重点关注的。确保用户或顾客的数据安全并免遭黑客染指,是非常重要的。这个话题所涉甚广,包括了: 1. 过滤输入数据,避免 SQL注入 2. 防止利用表单(form)进行的跨域(CSRF)攻击 3. 使用 HTTPS(TLS),避免在 Internet 上传输的数据被窃取 4. 确保用户 输入密码 或者 通过社交媒体授权 登录时的安全性 5. 设计 密码重置 或 多重身份认证流程 时,考虑到安全性的因素
使用Task类获取返回值
pengdayong77的博客
05-16 7121
今天学习了一个使用Task类获取返回值的教程,记录一下心得。 它的应用环境是有多个值需要并行处理时。最好是使用RunSynchronously。因为这可以保证并行处理数据。及时获取返回结果。用这个方法获取返回值,比设置一个公共属性或变量来存值的方法,该代码更加紧凑,简洁。
说说 async await
An Insecure Programming
11-28 825
先附上代码一段,就这段代码抛砖引玉。 public async Task&lt;ActionResult&gt; FifteenYearsActivityShareList(int pageNumber = 1, int rowsPerPage = 20, string accountName = null, string phoneNumber = null) { var fift...
ASP.NET】——SQL注入
相由心生-心随相改~
06-13 2681
关于SQL注入,师父给验收项目的时候就提过。但一直也没深入去想是怎么回事~~在学ASP.NET,做新闻发布系统的时候,又遇到了,这次不能放过了~~ 定义     所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过
ASP.NET Core 文官方文档精华概览
在文档,首先介绍了ASP.NET Core的基本概念,包括它的优势和与传统ASP.NET的区别。ASP.NET Core相比于ASP.NET,具有更轻量级、模块化的特点,同时支持跨平台运行。另外,文档还对比了.NET Core和.NET Framework,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值