Neu in ASP.NET MVC - Muss ich Sicherheit neu zu erlernen?

Question

Ich plane, die Arbeit an einem neuen Projekt und bin jetzt zu verwenden ASP.NET MVC versucht. Mein Projekt plant JQuery und AJAX (obwohl nicht-JS-Clients unterstützt werden) zu verwenden. Ich stamme aus einer Standard ASP.NET Hintergrund, versuche ich immer noch meinen Kopf um das MVC-Paradigma (mit großer Hilfe von Scott Guthrie ). Jedoch mit der Verwendung von MVC mein Hauptanliegen ist die Sicherheitsaspekte. Ich habe ziemlich viel Sicherheit mit ASP.NET getan und ich weiß, wie verschiedene Angriffsvektoren zu behandeln. wieder lernen Sicherheit mit ASP.NET MVC benötige ich? Gibt es neue Bedrohungen oder sogar neue Wege der alten Bedrohungen Umgang, dass ich lesen, müssen? Ich habe ein paar von ASP.NET MVC Bücher bestellt (das Kapitel über Sicherheit haben), aber ich möchte dies wissen, Erfahrung jemand anderem.

Danke

Answer 1

Abhängig von, was Sie mit Sicherheit bedeuten.

Die Autorisierung ist im Grunde das gleiche, wenn nicht sogar einfacher. Formularauthentifizierung wird unterstützt und gefördert, und Sie müssen nur eine [Authorize] Attribut-Controller oder Controller-Aktionen bleiben. Nicht zu viel dort zu lernen.

Viewstate ist weg, so dass Sie sich keine Sorgen machen über Viewstate Validierung oder jede dieser Flickschusterei.

Wenn Sie auf XSS Bezug genommen wird, würde ich sagen, dass es um das gleiche; Sie müssen Ihre Daten auf dem Ausgang zu entkommen und es ist sehr einfach zu tun:

<%= Html.Encode(Model.SomeString) %>

Das einzige, was ich an, dass Sie denken vielleicht ein bisschen anders ist der Umgang mit CSRF / XSRF finden. Zum Glück, die meisten dieser ohnehin schon ist in dem Rahmen gebaut.

So im Großen und Ganzen ich nicht sagen würde, sollte die Lernkurve für Sicherheit in ASP.NET MVC nicht annähernd so steil wie die Lernkurve für die Architektur selbst sein.