ASP.NET MVC를 처음 사용합니다 - 보안을 다시 배제해야합니까?

Question

나는 새로운 프로젝트에 대한 작업을 계획하고 있으며 이제 ASP.NET MVC를 사용하고 싶은 유혹을 받고 있습니다. 내 프로젝트는 JQuery 및 Ajax를 사용할 계획입니다 (비 JS 클라이언트도 지원되지만). 표준 ASP.NET 배경에서 나오면서도 여전히 MVC 패러다임 주위를 돌려 보려고 노력하고 있습니다 (큰 도움으로 Scott Guthrie). 그러나 MVC 사용에 대한 나의 주요 관심사는 보안 측면입니다. 나는 ASP.NET과 약간의 보안을 수행했으며 다양한 공격 벡터를 처리하는 방법을 알고 있습니다. ASP.NET MVC로 보안을 다시 학습해야합니까? 새로운 위협이나 오래된 위협을 처리하는 새로운 방법이 있습니까? 나는 보안에 관한 장이있는 ASP.NET MVC 책 몇 권을 주문했지만 다른 사람의 경험을 알고 싶습니다.

감사

Answer 1

보안이 의미하는 바에 따라 다릅니다.

승인은 기본적으로 더 쉽지 않지만 동일합니다. 양식 인증이 지원되고 장려되며 스틱 만 있으면됩니다. [Authorize] 컨트롤러 또는 컨트롤러 동작의 속성. 그곳에서 배우기에는별로 많지 않습니다.

ViewState는 사라 졌으므로 ViewState 유효성 검사 또는 해당 KLUDGE에 대해 걱정할 필요가 없습니다.

만약 당신이 XSS를 언급한다면, 나는 그것이 거의 동일하다고 말할 것입니다. 출력에 대한 데이터를 피해야하며 매우 쉽습니다.

<%= Html.Encode(Model.SomeString) %>

내가 생각할 수있는 유일한 것은 당신이 조금 다르게 찾을 수 있다는 것은 csrf/xsrf를 처리하는 것입니다. 다행히도 대부분은 이미입니다 프레임 워크에 내장되어 있습니다.

따라서 전체적으로 아니오라고 말하면 ASP.NET MVC의 보안 학습 곡선은 아키텍처 자체의 학습 곡선만큼 가파르지 않아야합니다.