新的ASP.NET MVC - 我将不得不重新学习安全?
https://stackoverflow.com/questions/2217823
-
19-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian题
我打算上一个新项目的工作,我现在想使用ASP.NET MVC。我的项目计划使用jQuery和AJAX(虽然非JS的客户也将得到支持)。从标准的ASP.NET背景的人,我仍然试图让我周围的MVC模式头(从的斯科特Guthrie的)。但是,我使用MVC主要关注的是安全问题。我已经做了相当多的与ASP.NET安全的,我知道如何处理各种攻击向量。我需要重新学习与ASP.NET MVC的安全性?是否有新的威胁,甚至是新的旧的处理方式威胁,我将不得不在读了?我已经下令一对夫妇的ASP.NET MVC书(这对安全性的章节),但我想知道的这个别人的经验。
由于
解决方案
取决于你所说的安全什么。
授权是基本相同,如果不是更容易。窗体身份验证支持和鼓励,你只需要在控制器或控制器行动坚持一个[Authorize]属性。没有太多的学习那里。
ViewState是走了,所以你并不需要担心的ViewState验证或任何杂牌的。
如果你指的是XSS,我会说,这是大致相同的;你需要逃避的输出数据,这是非常容易做到的:
<%= Html.Encode(Model.SomeString) %>
我能想到的,你唯一可能有点儿不同的是处理CSRF / XSRF。幸运的是,这已经是的内置于框架。
所以整体来说,我会说没有,在ASP.NET MVC的安全的学习曲线不应该是几乎一样的建筑本身的学习曲线陡峭。
不隶属于 StackOverflow
