溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

ASP.NET MVC應(yīng)用程序的安全性介紹

發(fā)布時(shí)間:2021-06-29 11:02:37 來(lái)源:億速云 閱讀:179 作者:chen 欄目:開(kāi)發(fā)技術(shù)

本篇內(nèi)容主要講解“ASP.NET MVC應(yīng)用程序的安全性介紹”,感興趣的朋友不妨來(lái)看看。本文介紹的方法操作簡(jiǎn)單快捷,實(shí)用性強(qiáng)。下面就讓小編來(lái)帶大家學(xué)習(xí)“ASP.NET MVC應(yīng)用程序的安全性介紹”吧!

前言:保護(hù)Web應(yīng)用程序的安全性看起來(lái)時(shí)間苦差事,這件必須要做的工作并不能帶來(lái)太多的樂(lè)趣,但是為了回避尷尬的安全漏洞問(wèn)題,程序的安全性通常還是不得不做的。

1.ASP.NET Web Forms開(kāi)發(fā)人員

   (1)因?yàn)锳SP.NET MVC不像ASP.NET Web Forms那樣提供了很多自動(dòng)保護(hù)機(jī)制來(lái)保護(hù)頁(yè)面不受惡意用戶的攻擊,所以閱讀本博客來(lái)了解這方面的問(wèn)題,更明確的說(shuō)法是:ASP.NET Web Forms致力于使應(yīng)用程序免受攻擊。例如:

    1)服務(wù)器組件對(duì)顯示的值和特性進(jìn)行HTML編碼,以幫助阻止XSS攻擊。

    2)加密和驗(yàn)證試圖狀態(tài),從而幫助阻止篡改提交的表單。

    3)請(qǐng)求驗(yàn)證(%@page validaterequest=”true”%)截獲看起來(lái)是惡意的數(shù)據(jù)并提出警告(這是MVC框架默認(rèn)開(kāi)啟的保護(hù))。

    4)事件驗(yàn)證幫助組織注入攻擊和提交無(wú)效值。

   (2)轉(zhuǎn)向ASP.NET MVC意味著這些問(wèn)題的處理將落到程序員的肩上—對(duì)于某些人來(lái)說(shuō)可能會(huì)引起恐慌,而對(duì)另一些人來(lái)說(shuō)可能是一件好事。

   (3)如果認(rèn)為框架”就應(yīng)該處理這種事情”的話,那么確實(shí)有一種框架可以處理這一類事情,而且處理的很好,它就是asp.net web forms。然而,其代價(jià)就是失去了對(duì)asp.net web froms引入的抽象層次的一些控制。

   (4)ASP.NET MVC提供了對(duì)標(biāo)記更多的控制,這意味著程序員要承擔(dān)更多的責(zé)任,要明確的是,ASP.NET MVC提供了許多內(nèi)置的保護(hù)機(jī)制(例如:默認(rèn)利用HTML的輔助方法和Razor語(yǔ)法進(jìn)行HTML編碼以及請(qǐng)求驗(yàn)證等功能特性)。

2.ASP.NET MVC開(kāi)發(fā)人員

   (1)對(duì)于存在安全風(fēng)險(xiǎn)的應(yīng)用程序,主要的借口是開(kāi)發(fā)人員缺乏足夠的信息或者理解,我們想要改變這一局面,但是我們也意識(shí)到人無(wú)完人,總會(huì)有疏忽的時(shí)候。鑒于此,請(qǐng)記住下面的錦囊妙計(jì)。

    1)永遠(yuǎn)都不要相信用戶提供的任何數(shù)據(jù)

    2)每當(dāng)渲染作為用戶輸入而引入的數(shù)據(jù)時(shí),請(qǐng)對(duì)其進(jìn)行HTML編碼(如果數(shù)據(jù)作為特性值顯示,就應(yīng)對(duì)其進(jìn)行HTML特性編碼)

    3)考慮好網(wǎng)站的那些部分允許匿名訪問(wèn),那些部分要求認(rèn)證訪問(wèn)。

    4)不要試圖自己凈化用戶的HTML輸入—否則將遭遇失敗。

    5)在不需要通過(guò)客戶端腳本訪問(wèn)cookie時(shí),使用HTTP-only cookie。

    6)強(qiáng)烈建議使用AntiXss庫(kù)(www.codeplex.com/AntiXSS)。

   (2)同時(shí),應(yīng)用程序的構(gòu)建基于這樣一個(gè)假設(shè),即只有特定的用戶才能執(zhí)行某些操作,其他用戶則不能執(zhí)行這些操作。


  注解:后面將陸續(xù)介紹如何使用ASP.NET MVC中的安全特性來(lái)執(zhí)行向授權(quán)這樣的應(yīng)用功能,然后介紹如何處理常見(jiàn)的安全威脅。

到此,相信大家對(duì)“ASP.NET MVC應(yīng)用程序的安全性介紹”有了更深的了解,不妨來(lái)實(shí)際操作一番吧!這里是億速云網(wǎng)站,更多相關(guān)內(nèi)容可以進(jìn)入相關(guān)頻道進(jìn)行查詢,關(guān)注我們,繼續(xù)學(xué)習(xí)!

向AI問(wèn)一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI