Nuovo per ASP.NET MVC - Dovrò imparare di nuovo la sicurezza?
https://stackoverflow.com/questions/2217823
-
19-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Sto pensando a lavorare su un nuovo progetto e ora sto tentati di usare ASP.NET MVC. Il mio progetto prevede di utilizzare JQuery e AJAX (anche se i clienti non-JS saranno anche supportati). Provenendo da un ambiente standard di ASP.NET, sto ancora cercando di ottenere la mia testa intorno al paradigma MVC (con grande aiuto da Scott Guthrie ). Tuttavia, la mia preoccupazione principale con l'utilizzo di MVC è gli aspetti di sicurezza. Ho fatto un po 'di sicurezza con ASP.NET e so come gestire i vari vettori di attacco. Avrò bisogno di ri-imparare la sicurezza con ASP.NET MVC? Ci sono nuove minacce, o anche nuovi modi di gestire vecchie minacce, che dovrò leggere su? Ho ordinato un paio di libri ASP.NET MVC (che hanno i capitoli sulla sicurezza), ma mi piacerebbe sapere dell'esperienza di chiunque altro di questo.
Grazie
Soluzione
Dipende da cosa si intende per sicurezza.
L'autorizzazione è fondamentalmente la stessa, se non più facile. Autenticazione basata su form è supportato e incoraggiato ed è necessario solo attaccare un attributo [Authorize] sul controller o azioni di controllo. Non troppo da imparare là.
ViewState è andato, quindi non c'è bisogno di preoccuparsi di convalida ViewState o di quella kludge.
Se ti riferisci a XSS, direi che è circa lo stesso; hai bisogno di fuggire i dati in uscita ed è molto facile da fare:
<%= Html.Encode(Model.SomeString) %>
L'unica cosa che posso pensare che si potrebbe trovare un po 'diversa è la manipolazione CSRF / XSRF. Fortunatamente, la maggior parte di questo è già integrato nel quadro .
Quindi, nel complesso direi di no, la curva di apprendimento per la sicurezza in ASP.NET MVC non dovrebbe essere altrettanto ripida come la curva di apprendimento per l'architettura stessa.
