本篇內(nèi)容主要講解“ASP.NET MVC應(yīng)用程序的安全性介紹”，感興趣的朋友不妨來看看。本文介紹的方法操作簡(jiǎn)單快捷，實(shí)用性強(qiáng)。下面就讓小編來帶大家學(xué)習(xí)“ASP.NET MVC應(yīng)用程序的安全性介紹”吧!

創(chuàng)新互聯(lián)建站成都網(wǎng)站建設(shè)按需網(wǎng)站建設(shè)，是成都網(wǎng)站設(shè)計(jì)公司,為發(fā)電機(jī)維修提供網(wǎng)站建設(shè)服務(wù),有成熟的網(wǎng)站定制合作流程，提供網(wǎng)站定制設(shè)計(jì)服務(wù)：原型圖制作、網(wǎng)站創(chuàng)意設(shè)計(jì)、前端HTML5制作、后臺(tái)程序開發(fā)等。成都網(wǎng)站營(yíng)銷推廣熱線：13518219792

前言：保護(hù)Web應(yīng)用程序的安全性看起來時(shí)間苦差事，這件必須要做的工作并不能帶來太多的樂趣，但是為了回避尷尬的安全漏洞問題，程序的安全性通常還是不得不做的。

1．ASP.NET Web Forms開發(fā)人員

 　　(1)因?yàn)锳SP.NET MVC不像ASP.NET Web Forms那樣提供了很多自動(dòng)保護(hù)機(jī)制來保護(hù)頁面不受惡意用戶的攻擊，所以閱讀本博客來了解這方面的問題，更明確的說法是：ASP.NET Web Forms致力于使應(yīng)用程序免受攻擊。例如：

　　1)服務(wù)器組件對(duì)顯示的值和特性進(jìn)行HTML編碼，以幫助阻止XSS攻擊。

　　2)加密和驗(yàn)證試圖狀態(tài)，從而幫助阻止篡改提交的表單。

　　3)請(qǐng)求驗(yàn)證(%@page validaterequest=”true”%)截獲看起來是惡意的數(shù)據(jù)并提出警告(這是MVC框架默認(rèn)開啟的保護(hù))。

　　4)事件驗(yàn)證幫助組織注入攻擊和提交無效值。

 　　(2)轉(zhuǎn)向ASP.NET MVC意味著這些問題的處理將落到程序員的肩上—對(duì)于某些人來說可能會(huì)引起恐慌，而對(duì)另一些人來說可能是一件好事。

 　　(3)如果認(rèn)為框架”就應(yīng)該處理這種事情”的話，那么確實(shí)有一種框架可以處理這一類事情，而且處理的很好，它就是asp.net web forms。然而，其代價(jià)就是失去了對(duì)asp.net web froms引入的抽象層次的一些控制。

 　　(4)ASP.NET MVC提供了對(duì)標(biāo)記更多的控制，這意味著程序員要承擔(dān)更多的責(zé)任，要明確的是，ASP.NET MVC提供了許多內(nèi)置的保護(hù)機(jī)制(例如：默認(rèn)利用HTML的輔助方法和Razor語法進(jìn)行HTML編碼以及請(qǐng)求驗(yàn)證等功能特性)。

2.ASP.NET MVC開發(fā)人員

 　　(1)對(duì)于存在安全風(fēng)險(xiǎn)的應(yīng)用程序，主要的借口是開發(fā)人員缺乏足夠的信息或者理解，我們想要改變這一局面，但是我們也意識(shí)到人無完人，總會(huì)有疏忽的時(shí)候。鑒于此，請(qǐng)記住下面的錦囊妙計(jì)。

　　1)永遠(yuǎn)都不要相信用戶提供的任何數(shù)據(jù)

　　2)每當(dāng)渲染作為用戶輸入而引入的數(shù)據(jù)時(shí)，請(qǐng)對(duì)其進(jìn)行HTML編碼(如果數(shù)據(jù)作為特性值顯示，就應(yīng)對(duì)其進(jìn)行HTML特性編碼)

　　3)考慮好網(wǎng)站的那些部分允許匿名訪問，那些部分要求認(rèn)證訪問。

　　4)不要試圖自己凈化用戶的HTML輸入—否則將遭遇失敗。

　　5)在不需要通過客戶端腳本訪問cookie時(shí)，使用HTTP-only cookie。

　　6)強(qiáng)烈建議使用AntiXss庫(www.codeplex.com/AntiXSS)。

 　　(2)同時(shí)，應(yīng)用程序的構(gòu)建基于這樣一個(gè)假設(shè)，即只有特定的用戶才能執(zhí)行某些操作，其他用戶則不能執(zhí)行這些操作。

注解：后面將陸續(xù)介紹如何使用ASP.NET MVC中的安全特性來執(zhí)行向授權(quán)這樣的應(yīng)用功能，然后介紹如何處理常見的安全威脅。

到此，相信大家對(duì)“ASP.NET MVC應(yīng)用程序的安全性介紹”有了更深的了解，不妨來實(shí)際操作一番吧！這里是創(chuàng)新互聯(lián)建站，更多相關(guān)內(nèi)容可以進(jìn)入相關(guān)頻道進(jìn)行查詢，關(guān)注我們，繼續(xù)學(xué)習(xí)！

分享名稱：ASP.NETMVC應(yīng)用程序的安全性介紹-創(chuàng)新互聯(lián)
網(wǎng)頁地址：http://weahome.cn/article/epopd.html