Nuevo a ASP.NET MVC - ¿Voy a tener que volver a aprender la seguridad?
https://stackoverflow.com/questions/2217823
-
19-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Estoy planeando trabajar en un nuevo proyecto y ahora estoy tentado a utilizar ASP.NET MVC. Mi proyecto tiene previsto utilizar JQuery y AJAX (aunque los clientes no JS también serán compatibles). Viniendo de un fondo ASP.NET estándar, todavía estoy tratando de conseguir mi cabeza alrededor del paradigma MVC (con gran ayuda de Scott Guthrie ). Sin embargo, mi principal preocupación es con el uso de MVC los aspectos de seguridad. He hecho un poco de seguridad con ASP.NET y sé cómo manejar diversos tipos de ataque. Voy a tener que volver a aprender la seguridad con ASP.NET MVC? ¿Existen nuevas amenazas, o incluso nuevas formas de manejar las amenazas viejas, que voy a tener que leer sobre? He ordenado un par de libros ASP.NET MVC (que tienen capítulos sobre la seguridad), pero me gustaría saber de la experiencia de otra persona de esta.
Gracias
Solución
Depende de lo que entendemos por seguridad.
La autorización es básicamente el mismo, si no más fácil. Autenticación de formularios es apoyado y alentado y sólo necesita pegarse un atributo [Authorize] en los controladores o acciones del controlador. No hay mucho que aprender allí.
ViewState se ha ido, por lo que no tiene que preocuparse acerca de la validación ViewState o cualquiera de esas kludge.
Si se refiere a XSS, yo diría que se trata de la misma; lo que necesita para escapar de sus datos en la salida y es muy fácil de hacer:
<%= Html.Encode(Model.SomeString) %>
Lo único que puedo pensar que podría encontrar un poco diferente es la manipulación de CSRF / XSRF. Afortunadamente, la mayor parte de esto ya es integrado en el marco .
Así que en general yo diría que no, la curva de aprendizaje para la seguridad en ASP.NET MVC no debería ser casi tan pronunciada como la curva de aprendizaje de la arquitectura misma.
