ASP.NET MVC 应用程序的安全性，看一眼你就会了

1.使用Authorize特性登陆
对于我们开发程序而言，基本上都是要求角色成员使用Authorize特性，比如，对于管理员而言角色是Admin,对于登陆注册登陆用户而言是User那么我们在用户登陆的时候添加

1 ///角色验证
2 FormsAuthentication.SignOut();  ///清空角色
3 FormsAuthentication.SetAuthCookie("User", false);

这样就添加了一个User角色，然后，我们再控制器上添加角色验证，如下：

1 [Authorize(Users = "User")]
2 public ActionResult Index()
3 {
4 return view();
5 }

这样一来，Index页面就只能是有User角色的人才能访问，

如果用户没有User角色，但是强制访问会怎么呢？下面我们再web.config配置文件中添加一个跳转页面，没有通过角色验证的用户会跳转到指定的页面，下面是跳转到登录页面Login

1     <authentication mode="Forms">
2       <forms loginUrl="~/Login" timeout="2880" />
3     </authentication>

好了，这就有搞定了，简单吧。

2.防止XSS攻击

1.对所有的内容进行HTML编码，使用@Html.Encode 或者 @Html.AttributeEncode

2.对Url进行编码，使用@Url.Encode

3.对javascript编码，使用@Html.JavaScriptEncode

3.令牌验证

在form表单中添加 @Html.AntiForgeryToken(),然后在控制器中添加 [ValidateAntiforgeryToken]

4.使用HttpOnly阻止Cookie盗窃

在webconfig中添加 <httpCookies domain="" httpOnlyCookies="true" requireSSL="false" />

或者 Response.Cookies["MyCookie"].HttpOnly=true;

5.使用Bind特性只接收表单中有的属性

如：[bind(Include="UserName,PassWord")]

这里我是有个疑问，为什么这个能防御重复提交攻击，本人认为这应该是不能达到的。而是避免提交攻击性的数据，比如视图提交表单之外的其他数据。

以上都是项目中经常会用到的，当然，也许你有更好的办法。

本群提供ASP.NET MVC,EF,LINQ,WEB API技术支持，不在乎人多，在乎人精。
ASP.NET MVC群 171560784
诚邀各路高手、初学者加入。

ASP.NET MVC 应用程序的安全性，看一眼你就会了

时间： 2024-08-30 03:04:28

ASP.NET MVC 应用程序的安全性，看一眼你就会了的相关文章

将最小的OWIN身份验证添加到现有的ASP.NET MVC应用程序

https://weblog.west-wind.com/posts/2015/Apr/29/Adding-minimal-OWIN-Identity-Authentication-to-an-Existing-ASPNET-MVC-Application 将最小的OWIN身份验证添加到现有的ASP.NET MVC应用程序 2015年4月29日•来自毛伊岛,HI• 40条评论从ASP.NET 4开始,ASP.NET提供了一个相当有用的身份系统.如果您创建一个新项目并选择一个MVC项目并选

ASP.NET安全[开发ASP.NET MVC应用程序时值得注意的安全问题](转)

概述安全在web领域是一个永远都不会过时的话题,今天我们就来看一看一些在开发ASP.NET MVC应用程序时一些值得我们注意的安全问题.本篇主要包括以下几个内容 : 认证授权 XSS跨站脚本攻击跨站请求伪造认证所谓认证,简单的来说就是验证一个用户的身份.这取决于我们开发的站点的类型,是否允许匿名访问,是否是属于管理员或者其它角色的用户等等.也就是说我们的整个程序或者某些功能是针对某些特定的用户开发的,那么我们可能就要进行认证来确定用户的身份.需要注意的是,认证与授权是是完全不一样的概念

[渣译文] 使用 MVC 5 的 EF6 Code First 入门系列：为ASP.NET MVC应用程序读取相关数据

这是微软官方教程Getting Started with Entity Framework 6 Code First using MVC 5 系列的翻译,这里是第六篇:为ASP.NET MVC应用程序读取相关数据原文:Reading Related Data with the Entity Framework in an ASP.NET MVC Application 译文版权所有,谢绝全文转载--但您可以在您的网站上添加到该教程的链接. 在之前的教程中您已经完成了学校数据模型.在本教程中你将

学习ASP.NET MVC(一)——我的第一个ASP.NET MVC应用程序

首先运行Visual Studio Express 2012或Visual Web Developer2010 Express或Visual Studio2010/SP1.Visual Studio是一个集成开发环境. 可以使用两种方式来创建新项目. 1) 菜单"文件->新建-->项目"来新建项目. 2) 第二种方法是从开始页面中选择"新建项目",如下图. 创建第一个ASP.NET MVC应用程序接下来创建我的第一个ASP.NET MVC应用程序,在创

NHibernate构建一个ASP.NET MVC应用程序

NHibernate构建一个ASP.NET MVC应用程序什么是Nhibernate? NHibernate是一个面向.NET环境的对象/关系数据库映射工具.对象/关系数据库映射(object/relational mapping,ORM)这个术语表示一种技术,用来把对象模型表示的对象映射到基于SQL的关系模型数据结构中去. NHibernate 是一个基于.Net 的针对关系型数据库的对象持久化类库.NHibernate 来源于非常优秀的基于Java的Hibernate 关系型持久化工具.

使用Metrics.NET 构建 ASP.NET MVC 应用程序的性能指标

通常我们需要监测ASP.NET MVC 或 Web API 的应用程序的性能时,通常采用的是自定义性能计数器,性能计数器会引发无休止的运维问题(损坏的计数器.权限问题等).这篇文章向你介绍一个新的替代性能计数器的工具Metrics.NET,因为是它是内部的,所以我们能够向系统中添加更多更有意义的度量标准. Metrics.NET(https://github.com/etishor/Metrics.NET)是一个给CLR 提供度量工具的包,它是移植自Java的metrics,支持的平台 .NET

[渣译文] 使用 MVC 5 的 EF6 Code First 入门系列：为ASP.NET MVC应用程序使用高级功能

这是微软官方教程Getting Started with Entity Framework 6 Code First using MVC 5 系列的翻译,这里是第十二篇:为ASP.NET MVC应用程序使用高级功能原文:Advanced Entity Framework 6 Scenarios for an MVC 5 Web Application 译文版权所有,谢绝全文转载--但您可以在您的网站上添加到该教程的链接. 在之前的教程中,您已经实现了继承.本教程引入了当你在使用实体框架Code

[渣译文] 使用 MVC 5 的 EF6 Code First 入门系列：为ASP.NET MVC应用程序更新相关数据

这是微软官方教程Getting Started with Entity Framework 6 Code First using MVC 5 系列的翻译,这里是第六篇:为ASP.NET MVC应用程序更新相关数据原文: Updating Related Data with the Entity Framework in an ASP.NET MVC Application 译文版权所有,谢绝全文转载--但您可以在您的网站上添加到该教程的链接. 在之前的教程中您已经成功显示了相关数据.在本教程中

使用区域组织 ASP.NET MVC 应用程序

MVC 模式可将应用程序的模型(数据)逻辑与其呈现逻辑和业务逻辑分离. 在 ASP.NET MVC 中,这种逻辑分离还在项目结构中以物理方式实现,在该项目结构中,控制器和视图保存在使用命名约定定义关系的文件夹中. 此结构可满足大多数 Web 应用程序的需求. 但是,一些应用程序可能具有大量控制器,而每个控制器又可能与若干个视图关联. 对于这些类型的应用程序,默认的 ASP.NET MVC 项目结构可能不实用. 为了满足大型项目的需要,ASP.NET MVC 允许您将 Web 应用程序划分为较小单