代码之家  ›  专栏  ›  技术社区  ›  Michael Gattuso

面向互联网站点的ASP.MVC防御技术

defensive-programming asp.net-mvc
  •  0
  • Michael Gattuso  · 技术社区  · 15 年前

    我正在研究我的第一个ASP MVC项目,该项目最终将在一个可公开访问的Web服务器上结束(我在MVC中处理过一些内部应用程序)。我应该考虑哪些技术、实践(特定于MVC或其他)来提高安全性。

    很明显,在我的头顶上还有用于动作和验证的acceptVerb属性,还有什么?

    3 回复  |  直到 15 年前
        1
  •  1
  •   Haacked    15 年前

    Windows Live团队撰写了一篇白皮书,介绍了在某些Windows Live属性上使用ASP.NET MVC所学到的经验。他们做了大量的安全分析,并在这里展示了他们的安全提示:

    http://www.microsoft.com/downloads/details.aspx?FamilyID=7606f801-70c5-49ca-a18c-91d4ed725833&displaylang=en

        2
  •  1
  •   brianng    15 年前

    Anti Forgery Token :)

        3
  •  1
  •   Darin Dimitrov    15 年前

    以下几点:

    • 对每个用户输入进行编码
    • 使用 anti forgery tokens
    • 对修改状态的每个请求使用post动词
    推荐文章
    Karajohann  ·  用不同的编程构造替换“goto”
    7 年前
    William  ·  预赛是唯一的防线吗?
    10 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号