2012-1225

ASP.NET MVC网站安全开发注意事项

作者: momy 分类: 编程开发 0 Comment »
摘要:ASP.NET MVC网站安全开发注意事项
一、XSS攻击
  默认情况下,从@表达式生成的所有文本都是HTML编码过的,但由于某些情况下要显示HTML文本时,必须对于进行白名单过滤。
  使用微软的 HtmlSanitizationLibrary.Dll库进行白名单过滤
  Sanitizer.GetSafeHtmlFragment(InputHtml);

二、SQL注入
  对所有的SQL语句及参数进行全面的过滤

三、防止CSRF(跨网站请求伪造),只针对POST请求
  Action前加入[ValidateAntiForgeryToken(Salt ="密钥")]
  在Form表单中加入@Html.AntiForgeryToken("密钥");

四、Cookie窃取
  对用户输入进行过滤,避免被截持Cookie,避免被绕过过滤

五、其他细节
  1.CustomErrors Mode=“on",发布网站时必须为On,避免错误暴露
  2.[nonaction]锁定不开放的Action
  3.[AcceptVerbs(HttpVerbs.Post)]限定页面的访问形式
标签: ASP.NET mvc 安全 阅读: 12228
上一篇: 通过委托、事件在子窗口和父窗口间传值 - 10613次
下一篇: 春节给程序员/黑客/极客推荐几部电影 - 11806次

向右滑动解锁留言