ASP.Net MVC 5 高级编程 第7章 成员资格、授权和安全性

第7章 成员资格、授权和安全性

7.1 安全性

get='_blank'>ASP.NET MVC 提供了许多内置的保护机制（默认利用 HTML 辅助方法和Razor 语法进行 HTML编码以及请求验证等功能特性，以及通过基架构建的控制器白名单表单元素来防止重复提交攻击）

永远不要相信用户提交的任何数据。

实际的例子

• 每次渲染用户提交的数据的时候对其进行编码。
• 考虑好网站哪些部分允许用户匿名访问，哪些部分需要认证访问。
• 不要试图自己净化用户的HTML 输入，否则就会失败。
• 在不需要通过客户端脚本访问cookie时，使用HTTP-only cookie
• 请记住外部输入不只是显式的表单域。
• 建议使用AntiXSS 编码器。

黑客、解密高手、垃圾邮件发送者、病毒、恶意软件——它们都想进入计算读查看里面的数据。在阅读本段内容时，我们的电子邮箱很可能已经转发了很多封电子邮件。我们的端口遭到了扫描，而一个自动化的蠕虫病毒很有可能正在尝试通过多种操作系统漏洞找到进入PC的途径。由于这些攻击都是自动的，因此它们在不断地探索，寻找一个开放的系统。

应用程序的构建基于这样一种假设，即只有特定用户才能执行某些操作，而其它用户则不能执行这些操作。

7.2 使用Authorize 特性登录

        保护应用程序安全的第一步，同时也是最简单的一步，就是要求用户只有登录系统才能访问应用程序的特定部分。         Authorize Attribute 是ASP.NET MVC 自带的默认授权过滤器，可用来限制用户对操作方法的访问。    

Tips:身份验证和授权

身份验证是指通过某种形式的登录机制(包括用户名/密码、OpenID、OAuth 等说明自已身份的项)来核实用户身份。

授权验证是用来核实登录站点的用户是否在他们的权限内执行操作。这通常使用一些基于声明的系统来实现。

海外公司注册、海外银行开户、跨境平台代入驻、VAT、EPR等知识和在线办理：https://www.xlkjsw.com

原标题：ASP.Net MVC 5 高级编程 第7章 成员资格、授权和安全性

关键词：ASP.NET