主页 > 知识库 > 浅谈ASP.NET MVC应用程序的安全性

浅谈ASP.NET MVC应用程序的安全性

热门标签:t3出行地图标注怎么做 宁夏机器人电销 威海电销 400电话办理最优质 400免费电话怎么办理 关于宗地图标注技术规范 河南语音外呼系统公司 河北网络回拨外呼系统 外呼电销机器人软件

前言:保护Web应用程序的安全性看起来时间苦差事,这件必须要做的工作并不能带来太多的乐趣,但是为了回避尴尬的安全漏洞问题,程序的安全性通常还是不得不做的。

1.ASP.NET Web Forms开发人员

   (1)因为ASP.NET MVC不像ASP.NET Web Forms那样提供了很多自动保护机制来保护页面不受恶意用户的攻击,所以阅读本博客来了解这方面的问题,更明确的说法是:ASP.NET Web Forms致力于使应用程序免受攻击。例如:

    1)服务器组件对显示的值和特性进行HTML编码,以帮助阻止XSS攻击。

    2)加密和验证试图状态,从而帮助阻止篡改提交的表单。

    3)请求验证(%@page validaterequest=”true”%)截获看起来是恶意的数据并提出警告(这是MVC框架默认开启的保护)。

    4)事件验证帮助组织注入攻击和提交无效值。

   (2)转向ASP.NET MVC意味着这些问题的处理将落到程序员的肩上—对于某些人来说可能会引起恐慌,而对另一些人来说可能是一件好事。

   (3)如果认为框架”就应该处理这种事情”的话,那么确实有一种框架可以处理这一类事情,而且处理的很好,它就是asp.net web forms。然而,其代价就是失去了对asp.net web froms引入的抽象层次的一些控制。

   (4)ASP.NET MVC提供了对标记更多的控制,这意味着程序员要承担更多的责任,要明确的是,ASP.NET MVC提供了许多内置的保护机制(例如:默认利用HTML的辅助方法和Razor语法进行HTML编码以及请求验证等功能特性)。

2.ASP.NET MVC开发人员

   (1)对于存在安全风险的应用程序,主要的借口是开发人员缺乏足够的信息或者理解,我们想要改变这一局面,但是我们也意识到人无完人,总会有疏忽的时候。鉴于此,请记住下面的锦囊妙计。

    1)永远都不要相信用户提供的任何数据

    2)每当渲染作为用户输入而引入的数据时,请对其进行HTML编码(如果数据作为特性值显示,就应对其进行HTML特性编码)

    3)考虑好网站的那些部分允许匿名访问,那些部分要求认证访问。

    4)不要试图自己净化用户的HTML输入—否则将遭遇失败。

    5)在不需要通过客户端脚本访问cookie时,使用HTTP-only cookie。

    6)强烈建议使用AntiXss库(www.codeplex.com/AntiXSS)。

   (2)同时,应用程序的构建基于这样一个假设,即只有特定的用户才能执行某些操作,其他用户则不能执行这些操作。


  注解:后面将陆续介绍如何使用ASP.NET MVC中的安全特性来执行向授权这样的应用功能,然后介绍如何处理常见的安全威胁。

您可能感兴趣的文章:
  • asp.net“服务器应用程序不可用” 解决方法
  • Asp.Net 程序错误Runtime Error原因与解决
  • 使用ASP.NET一般处理程序或WebService返回JSON的实现代码
  • .Net中导出数据到Excel(asp.net和winform程序中)
  • ASP.NET中在一般处理程序中使用session的简单介绍
  • ASP.NET 使用application与session对象写的简单聊天室程序
  • ASP.NET MVC实现仪表程序

标签:广元 固原 池州 淮北 乐山 咸宁 贺州 吉林

巨人网络通讯声明:本文标题《浅谈ASP.NET MVC应用程序的安全性》,本文关键词  浅谈,ASP.NET,MVC,应用程序,;如发现本文内容存在版权问题,烦请提供相关信息告之我们,我们将及时沟通与处理。本站内容系统采集于网络,涉及言论、版权与本站无关。
  • 相关文章
  • 下面列出与本文章《浅谈ASP.NET MVC应用程序的安全性》相关的同类信息!
  • 本页收集关于浅谈ASP.NET MVC应用程序的安全性的相关信息资讯供网民参考!
  • 推荐文章