Novo para ASP.NET MVC - Terei de segurança reaprender?
https://stackoverflow.com/questions/2217823
-
19-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Estou planejando trabalhar em um novo projeto e agora estou tentado a usar ASP.NET MVC. Meus planos de projeto para usar JQuery e AJAX (embora os clientes não-JS também será suportado). Vindo de um fundo ASP.NET padrão, eu ainda estou tentando obter minha cabeça em torno do paradigma MVC (com grande ajuda do Scott Guthrie ). No entanto, a minha principal preocupação com o uso de MVC são os aspectos de segurança. Eu fiz um pouco de segurança com ASP.NET e eu sei como lidar com vários vetores de ataque. Vou precisar de re-aprender a segurança com ASP.NET MVC? Existem novas ameaças, ou mesmo novas maneiras de lidar com ameaças de idade, que eu vou ter que ler sobre? Pedi um par de livros ASP.NET MVC (que têm capítulos sobre a segurança), mas eu gostaria de saber de experiência de qualquer outra pessoa deste.
Graças
Solução
Depende do que você quer dizer com segurança.
A autorização é basicamente o mesmo, se não mais fácil. Formas de autenticação é apoiada e incentivada e você só precisa ficar um atributo [Authorize] em controladores ou ações do controlador. Não muito para aprender lá.
ViewState está desaparecido, assim você não precisa se preocupar com a validação ViewState ou qualquer um que kludge.
Se você está se referindo a XSS, eu diria que é sobre o mesmo; você precisa escapar de seus dados na saída e é muito fácil de fazer:
<%= Html.Encode(Model.SomeString) %>
A única coisa que eu posso pensar que você pode encontrar um pouco diferente está a lidar com CSRF / XSRF. Felizmente, a maior parte deste já é construído para o quadro .
Assim, no geral eu diria que não, a curva de aprendizagem para a segurança em ASP.NET MVC não deve ser quase tão íngreme como a curva de aprendizagem para a própria arquitetura.
