Nouveau à ASP.NET MVC - Est-ce que je dois réapprendre la sécurité?

Question

Je suis la planification des travaux sur un nouveau projet et je suis maintenant tenté d'utiliser ASP.NET MVC. Mon projet prévoit d'utiliser JQuery et AJAX (bien que les clients non-JS seront également pris en charge). Venant d'un arrière-plan standard ASP.NET, je suis toujours essayer d'obtenir ma tête autour du paradigme MVC (avec l'aide précieuse de Scott Guthrie ). Cependant, ma principale préoccupation à l'utilisation MVC sont les aspects de sécurité. Je l'ai fait un peu de sécurité avec ASP.NET et je sais comment manipuler les différents vecteurs d'attaque. Ai-je besoin de réapprendre la sécurité avec ASP.NET MVC? Y at-il de nouvelles menaces, ou même de nouvelles façons de gérer les menaces anciennes, que je vais devoir lire sur? J'ai commandé quelques livres ASP.NET MVC (qui ont des chapitres sur la sécurité), mais je voudrais savoir de l'expérience de quelqu'un d'autre cela.

Merci

Answer 1

Cela dépend de ce que vous entendez par la sécurité.

L'autorisation est fondamentalement la même, sinon plus facile. L'authentification des formulaires est soutenu et encouragé et vous avez besoin seulement tenir un attribut [Authorize] sur les contrôleurs ou les actions du contrôleur. Pas trop beaucoup à apprendre.

ViewState est parti, de sorte que vous n'avez pas à vous soucier de la validation ViewState ou tout cela bidouille.

Si vous faites référence à XSS, je dirais qu'il est de la même; vous avez besoin pour échapper à vos données sur la sortie et il est très facile à faire:

<%= Html.Encode(Model.SomeString) %>

La seule chose que je peux penser que vous pourriez trouver un peu différent est la manipulation CSRF / XSRF. Heureusement, la plupart de ce qui est déjà construit au cadre.

Donc dans l'ensemble je dirais que non, la courbe d'apprentissage pour la sécurité dans ASP.NET MVC ne devrait pas être presque aussi raide que la courbe d'apprentissage pour l'architecture elle-même.