asp.net-mvc – ASP.NET MVC安全建议
我最近创建了一个使用ASP.NET MVC的个人项目(撰写本文时为RC1).我的背景是传统的ASP.NET WebForms开发.
我的知识ASP.NET MVC是有限的,所以我想了解如何最好地进行身份验证,输入验证和防止常见攻击(XSS,XSRF等)的输入. 我将首先列出一些文章Stephen Walther posted on his blog: > Tip #7 – Prevent JavaScript Injection Attacks with Html.Encode 验证: > xVal Validation Framework 谢谢, 解决方法
脱离我的头顶(并且远未完成)……
>在所有表单上使用AntiForgeryToken以防止XSRF.使用单元测试确保接受POSTS的所有控制器操作都使用ValidateAntiForgeryToken属性进行修饰.>尽可能利用HtmlHelper扩展来利用自动HTML编码.>对所有数据库访问使用带参数化查询的ORM – 不是MVC独有的,但仍然相关.>在您接受的最低要求的HTTP动词中具有限制性.使用DELETE(vi AJAX)或POST进行删除操作.>使用AuthorizeAttribute或从其派生的属性来保护非公共操作.>不要在可能被缓存的URL中公开用户ID /密码(即,通过表单POST而不是GET URL登录).与往常一样,使用SSL传递敏感数据. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
- asp.net-mvc – 使用actionlink将文本框的值从视图传递到控
- asp.net – window.location更改失败AJAX调用
- 有没有办法检查WebResponse而不影响.NET中的底层响应流?
- ASP.NET MVC AJAX Sys是未定义的错误
- 使用DropDownList的ASP.Net自定义验证器控件
- 如何将旧版ASP应用程序转换为ASP.NET?
- ASP.NET MVC中特定于视图的模型?
- asp.net – 在Inproc模式下与页面只读的会话锁争用
- asp.net – 使用字符串列表绑定GridView
- asp.net-mvc – 在ASP.NET MVC 3 Action方法中并行运行任务
- 身份验证 – 我们可以在Asp.NET Core中销毁/无效
- asp.net-core-mvc – 在第二级包含几个引用
- 什么OverrideAuthenticationAttribute是为什么?
- asp.net – Facebox为输入添加逗号
- asp.net-mvc-3 – 尝试加载64位C/C++LI程序集时出
- asp.net-mvc – 关于asp.net MVC视图模型模式的几
- 在ASP.Net中使用Page_Load和Page_PreRender
- asp.net – 在IIS中将WebAPI添加为子/嵌套应用程
- ASP.NET MVC&C#:HttpStatusCodeResult()vs
- asp.net-mvc – 如何将锚/哈希的参数添加到Redir