ASP.NET MVCに新しい - 私はセキュリティを再学習する必要がありますか?
https://stackoverflow.com/questions/2217823
-
19-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian質問
私は、新しいプロジェクトの作業を計画していますし、今ASP.NET MVCを使用するように誘惑しています。私のプロジェクトでは、(非JSクライアントもサポートされますが)jQueryとAJAXを使用することを計画しています。標準のASP.NETの背景から来て、私はまだ<のhref = "http://weblogs.asp.net/scottgu/archive/2009/04/から大きな助けと(MVCパラダイムのまわりで私の頭を取得しようとしています28 /無料-ASP-NET-MVC-nerddinner - チュートリアル - 今インhtml.aspx」のrel = "nofollowをnoreferrer">スコット・ガスリーの)。しかし、MVCを使用して私の主な関心事は、セキュリティの側面です。私はASP.NETでのセキュリティのかなりやったと私は、さまざまな攻撃ベクトルを処理する方法を知っています。私は、ASP.NET MVCでの再学習保障する必要があるでしょうか?そこに新たな脅威、または私が上に読まなければならないという古い脅威を扱うのも、新しい方法は、ありますか?私は(セキュリティ上の章を持っている)ASP.NET MVCの本のカップルを注文しましたが、私はこれの誰も他の人の経験を知っていると思います。
おかげ
解決
あなたはセキュリティによって何を意味するかに依存します。
簡単にない場合は、承認は、基本的に同じです。フォーム認証がサポートされ、奨励し、あなたは、コントローラまたはコントローラのアクションに[Authorize]属性が付くだけ必要です。そこに学ぶことはあまりありません。
ViewStateが、なくなっています。
あなたはXSSを参照している場合は、、私はそれはほぼ同じだと言うでしょう。あなたは出力にデータをエスケープする必要があり、それを行うのは非常に簡単です。
<%= Html.Encode(Model.SomeString) %>
私はあなたのことを考えることができる唯一のことは、CSRF / XSRFを処理しているビットが異なるかもしれません。幸いなことに、これのほとんどは、すでにある<のhref =「http://msmvps.com/blogs/luisabreu/archive/2009/02/09/the-mvc-platform-the-new-anti-forgery-token.aspx」 rel = "nofollowをnoreferrer">フレームワークのに組み込まれています。
だから、全体的にノー、ASP.NET MVCでのセキュリティのための学習曲線は、アーキテクチャ自体の学習曲線ほど急であってはならないと思います。
