浅谈ASP.NET MVC应用程序的安全性
前言:保护web应用程序的安全性看起来时间苦差事,这件必须要做的工作并不能带来太多的乐趣,但是为了回避尴尬的安全漏洞问题,程序的安全性通常还是不得不做的。
1.asp.net web forms开发人员
(1)因为asp.net mvc不像asp.net web forms那样提供了很多自动保护机制来保护页面不受恶意用户的攻击,所以阅读本博客来了解这方面的问题,更明确的说法是:asp.net web forms致力于使应用程序免受攻击。例如:
1)服务器组件对显示的值和特性进行html编码,以帮助阻止xss攻击。
2)加密和验证试图状态,从而帮助阻止篡改提交的表单。
3)请求验证( validaterequest=”true”%)截获看起来是恶意的数据并提出警告(这是mvc框架默认开启的保护)。
4)事件验证帮助组织注入攻击和提交无效值。
(2)转向asp.net mvc意味着这些问题的处理将落到程序员的肩上—对于某些人来说可能会引起恐慌,而对另一些人来说可能是一件好事。
(3)如果认为框架”就应该处理这种事情”的话,那么确实有一种框架可以处理这一类事情,而且处理的很好,它就是asp.net web forms。然而,其代价就是失去了对asp.net web froms引入的抽象层次的一些控制。
(4)asp.net mvc提供了对标记更多的控制,这意味着程序员要承担更多的责任,要明确的是,asp.net mvc提供了许多内置的保护机制(例如:默认利用html的辅助方法和razor语法进行html编码以及请求验证等功能特性)。
2.asp.net mvc开发人员
(1)对于存在安全风险的应用程序,主要的借口是开发人员缺乏足够的信息或者理解,我们想要改变这一局面,但是我们也意识到人无完人,总会有疏忽的时候。鉴于此,请记住下面的锦囊妙计。
1)永远都不要相信用户提供的任何数据
2)每当渲染作为用户输入而引入的数据时,请对其进行html编码(如果数据作为特性值显示,就应对其进行html特性编码)
3)考虑好网站的那些部分允许匿名访问,那些部分要求认证访问。
4)不要试图自己净化用户的html输入—否则将遭遇失败。
5)在不需要通过客户端脚本访问cookie时,使用http-only cookie。
6)强烈建议使用antixss库(www.codeplex.com/antixss)。
(2)同时,应用程序的构建基于这样一个假设,即只有特定的用户才能执行某些操作,其他用户则不能执行这些操作。
注解:后面将陆续介绍如何使用asp.net mvc中的安全特性来执行向授权这样的应用功能,然后介绍如何处理常见的安全威胁。
上一篇: 浅谈java内存管理与内存溢出异常
推荐阅读
-
浅谈ASP.NET MVC应用程序的安全性
-
ASP.NET在MVC中MaxLength特性设置无效的解决方法
-
ASP.NET中MVC从后台控制器传递数据到前台视图的方式
-
ASP.NET MVC中的视图生成实例分析
-
ASP.NET Core Mvc中空返回值的处理方法详解
-
浅谈ASP.NET中最简单的自定义控件
-
Asp.net实现MVC处理文件的上传下载功能实例教程
-
支持ASP.NET MVC、WebFroM的表单验证框架ValidationSuar使用介绍
-
ASP.NET MVC中为DropDownListFor设置选中项的方法
-
asp.net mvc下拉框Html.DropDownList 和DropDownListFor的常用方法