ImageVerifierCode 换一换
格式:DOC , 页数:9 ,大小:60KB ,
资源ID:13928      下载积分:10 文钱
快捷下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

加入VIP,省得不是一点点
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.wenke99.com/d-13928.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: QQ登录   微博登录 

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(ASP.NET安全模型【外文翻译】.doc)为本站会员(文初)主动上传,文客久久仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知文客久久(发送邮件至hr@wenke99.com或直接QQ联系客服),我们立即给予删除!

ASP.NET安全模型【外文翻译】.doc

1、本科毕业论文外文翻译译文标题ASPNET安全模型资料来源PROASPNET4INVB2010作者MATTHEWMACDONALD,DANMABBUTT,ADAMFREEMAN摘要安全是网络应用程序的一个重要组成部分,而且在开发过程一开始就应该考虑到。从本质上来说,安全体现在未经授权时,保护您的所有信息。你可以使用了一些机制来保护存储在服务器和通过线路传输的数据,包括验证用户,授权或拒绝访问敏感资源。在所有情况中,你都需要一个基本的框架来提供基本的安全功能。ASPNET就拥有这个内置功能,您可以通过它用来保护WEB应用程序的安全。关键字ASPNETSSL安全性模型正文安全是网络应用程序的一个重要

2、组成部分,而且在开发过程一开始就应该考虑到。从本质上来说,安全体现在未经授权时,将保护您的所有信息。你可以使用了一些机制来结束这种情况,包括验证用户,授权或拒绝访问敏感资源,保护存储在服务器和通过线路传输的数据。在所有情况中,你都需要一个基本的框架来提供基本的安全功能。ASPNET就拥有这个内置的功能,您可以通过它用来保护WEB应用程序的安全。ASPNET的安全框架,包括在应用程序中认证和授权用户以及处理验证用户。此外,NET框架自身还提供了一个基类,是通过加密和数字签名来达到保密性和完整性的要求。随着ASPNET20的不断完善,安全基础措施也随着管理用户和角色的高层次模型得到了很大的发展,于

3、此相同的还有编程方式和内置的管理工具,也得到了很大的发展,这为ASPNET35打下了很好的基础。此功能(可通过会员和角色的API应用)建立在ASPNET1X就有体现的安全基础设施的基础上,。最重要的是,此安全基础设施是完全可扩展的,可通过提供程序设计模式扩展。详细介绍将会在第26章中讲到。更重要的是,ASPNET35扩展了集成功能的基础设施并将其融合进了AJAX。2本文提供了一个ASPNET中的安全功能路线图。在随后的章节中,您会深刻了解到本章所涉及的每个专题。在这里,会对NET关键安全特性的进行简短介绍。您将会知道NET身份验证提供者和授权模块是如何构造的,以及为什么用户的安全背景能代表着身

4、份和主要对象。最重要的是,你会对如何将安全性纳入您的应用程序体系结构和设计中有个基本了解,同时,你会知道建立安全软件的重要因素是什么。建立安全软件意味着什么虽然由NET和ASPNET所提供的安全框架功能很强大,但是它必须保持那些能够考虑到的基本原则,并同时在适合的时间里使用正确的功能。在大多数的项目中,安全性总是后来才被考虑到的,架构师和开发人员在早期开发阶段也未将安全性考虑进去。但如果你从一开始就没考虑到安全性这一问题的话,你又怎么能正确和在恰当的时间里,使用所有由NET框架提供的的安全功能呢这尤其体现在应用体系结构和设计上。因此,在开发过程的初始阶段,当您在创建体系架构和设计的时候就应该将

5、安全性考虑进去。这是唯一能解决安全性问题的方法。发现潜在的威胁建立一个安全的体系结构和设计,要求对自己的应用程序环境有个全面的了解。如果连自己都不知道谁可以访问您的应用程序和哪里有可能成为攻击点的话,是不能保证软件的安全性的。因此,对创造安全的应用程序体系结构和设计而言,最重要的是对环境的诸多因素有足够的了解,比如用户,入口点及潜在的可能构成威胁的攻击点等。这就为为什么威胁建模分析在现今的软件发展过程中变得如此的重要作了很好的解释。威胁建模分析是一种结构化分析方法,具体的说,就是分析应用程序环境中的潜在威胁,对其中的漏洞进行排名,然后基于存在的威胁采用一些技术来预防它。通过研究,一个用于安全技

6、术的软件出现(如身份验证或SSL加密),它总是基于一个实际的原因那就是自身的威胁。威胁模型分析的出现还有另外一个非常重要的原因。你知道的,并不是所有的潜在威胁都可以利用如身份验证或授权等的安全技术来解决的。换句话说,某些威胁仅利用技术是不能得到解决的。例如,一个银行的在线保护方案可以确保那些使用SSL的用户在其网站上的安全通信。但是,对于用户来说,他们怎么知道正在浏览的是银行的网页,而不是黑客制作的虚拟的网站呢唯一的办法就是查看建立SSL3通道的证书。不过,前提是用户必须知道这些知识,因此你必须告诉他们。于是出现了“缓解技术”,它不是一个安全技术。它只是保证所有注册的用户都知道如何看证书的技术

7、。(当然,你不能强迫他们这样做,但如果你的信息说明做到很好,或许就能让更多的人愿意去这样做)。建模威胁分析作为一种分析方法,可以帮助您有效防止这类问题,且不仅仅是技术问题。威胁建模分析的范围很广,超出了本书的内容,如需要详细了解的,您可以参考MICHAELHOWARD和DAVIDLEBLANC的编写安全代码,第二版(微软出版社,2002)或FRANKSWIDERSKI和WINDOWSNYDER的威胁建模分析(微软出版社,2004)。另外,还有其他一些来源于微软模式与实践团队的书本等等。安全编码指南当然,仅一个安全的架构和设计本身并不能使得您的应用程序完全安全。这只是最重要的因素之一。在创建一个

8、安全的体系结构和设计后,你还必须编写安全的代码。同样有几本书推荐,如由MICHAELHOWARD和DAVIDCLEBLANC编写的第二版的编写代码(微软出版社,2002),由FRANKSWIDERSKI和WINDOWSNYDER写的威胁模型分析(微软出版社,2004),以及由MICHAELHOWARD和STEVELIPNER写的安全开发生命周期(微软出版社,2006),它们对每个开发人员来说,都是找详细信息的最佳来源。在网络应用方面,当你编写代码是,你应该始终保持在下列原则永远不要放松对用户输入的验证要假设每个用户都是恶意捣乱的,直到证明不是为止。因此,对用户输入要加强验证。输入您的验证码来验

9、证输入值是有效而不是无效。(在编写应用程序的时候,总会存在很多你意想不到的无效输入)。切勿使用SQL语句用于创建连接字符串一定要使用参数化语句,使您的应用程序不是SQL注入。如果用户在验证和编码它之前直接出现在您的网页上,将不输出数据用户可以输入一些HTML代码片段(例如,脚本)导致跨网站脚本漏洞。所以,在网页出现之前始终使用HTTPUTILITYHTMLENCODE()来逃避如特殊字符,或者用网络控制编码自动执行。不要存储敏感数据,关键业务数据,或者其他一些数据,由在你网页上应用在隐藏领域而决定的内部业务隐藏字段则可以很简单的改善,通过查看网页的源,修改它,并将其保存到一个文件。然后,一攻击

10、者只需要提交本地保存,修改网页服务器。浏览器插件可以使用这一方法就如同写电子邮件与MICROSOFTOUTLOOK这么4简单来实现。从不存储敏感数据或在VIEWSTATE的重要业务数据VIEWSTATE就是在页面上的另一个隐藏,可以解码并且浏览很容易。如果您使用的ENABLEVIEWSTATEMACTRUE设置您的网页,VIEWSTATE将签署消息身份验证代码,它的创建是基于对WEB服务器的MACHINECONFIG的计算机的关键。我们建议您使用ENABLEVIEWSTATEMACTRUE,只要你包括在您的VIEWSTATE数据不在用户浏览网页的时候不被更改。当使用基本身份验证或ASPNET窗

11、体身份验证需启用SSL时第20章讨论形式的身份验证。SSL是在下文讨论的部分章节“理解SSL”。保护您的COOKIES当使用表单验证时,始终保护您的身份验证COOKIES,只要有必要,并设置尽可能短的超时。使用SSL一般来说,如果你的WEB应用程序处理一些敏感数据,就使用SSL将保护您的整个网站。不要忘了保护那些并没有通过SSL的应用程序直接管理的目录,包括图片目录或一些其他文件等等。当然,这些只是一些一般性的重要问题。为了得到一个全面的了解情况,在您的具体应用上,您必须创建威胁模型,来编制出一个完整的潜在威胁的列表。此外,也要考虑到现有的教育,因为黑客技术和技术的发展就像其他方法和技术一样在

12、发展。如果你忘记了这些准则的任意一个,那么所有其它的安全功能都会或多或少的受到影响。所以,千万不要忘记这个原则安全是唯一一个比你最薄弱的环节还弱的地方。5外文文献原文TITLETHEASPNETSECURITYMODELPROASPNET4INVB2010AUTHORMATTHEWMACDONALD,DANMABBUTT,ADAMFREEMANABSTRACTSECURITYISANESSENTIALPARTOFWEBAPPLICATIONSANDSHOULDBETAKENINTOCONSIDERATIONFROMTHEFIRSTSTAGEOFTHEDEVELOPMENTPROCESSESSE

13、NTIALLY,SECURITYISALLABOUTPROTECTINGYOURASSETSFROMUNAUTHORIZEDACTIONSYOUUSESEVERALMECHANISMSTOTHISEND,INCLUDINGIDENTIFYINGUSERS,GRANTINGORDENYINGACCESSTOSENSITIVERESOURCES,ANDPROTECTINGTHEDATATHATSSTOREDONTHESERVERANDTRANSMITTEDOVERTHEWIREINALLOFTHESECASES,YOUNEEDANUNDERLYINGFRAMEWORKTHATPROVIDESBAS

14、ICSECURITYFUNCTIONALITYASPNETFILLSTHISNEEDWITHBUILTINFUNCTIONALITYTHATYOUCANUSEFORIMPLEMENTINGSECURITYINYOURWEBAPPLICATIONSKEYWORDSASPNETSSLMODELSECURITYTEXTSECURITYISANESSENTIALPARTOFWEBAPPLICATIONSANDSHOULDBETAKENINTOCONSIDERATIONFROMTHEFIRSTSTAGEOFTHEDEVELOPMENTPROCESSESSENTIALLY,SECURITYISALLABO

15、UTPROTECTINGYOURASSETSFROMUNAUTHORIZEDACTIONSYOUUSESEVERALMECHANISMSTOTHISEND,INCLUDINGIDENTIFYINGUSERS,GRANTINGORDENYINGACCESSTOSENSITIVERESOURCES,ANDPROTECTINGTHEDATATHATSSTOREDONTHESERVERANDTRANSMITTEDOVERTHEWIREINALLOFTHESECASES,YOUNEEDANUNDERLYINGFRAMEWORKTHATPROVIDESBASICSECURITYFUNCTIONALITYA

16、SPNETFILLSTHISNEEDWITHBUILTINFUNCTIONALITYTHATYOUCANUSEFORIMPLEMENTINGSECURITYINYOURWEBAPPLICATIONSTHEASPNETSECURITYFRAMEWORKINCLUDESCLASSESFORAUTHENTICATINGANDAUTHORIZINGUSERSASWELLASFORDEALINGWITHAUTHENTICATEDUSERSINYOURAPPLICATIONSFURTHERMORE,THENETFRAMEWORKONITSOWNPROVIDESYOUWITHASETOFBASECLASSE

17、SFORIMPLEMENTINGCONFIDENTIALITYANDINTEGRITYTHROUGHENCRYPTIONANDDIGITALSIGNATURESWITHTHERELEASEOFASPNET20,WHICHBUILDSTHEFOUNDATIONFORASPNET35,THESECURITYINFRASTRUCTUREISEXTENDEDSIGNIFICANTLYWITHAHIGHERLEVELMODELFORMANAGINGUSERSANDROLES,BOTHPROGRAMMATICALLYANDWITHBUILTINADMINISTRATIVETOOLSTHISFUNCTION

18、ALITYWHICHISACCESSIBLETHROUGHTHEMEMBERSHIPANDROLESAPISBUILDSONTHE6EXISTINGSECURITYINFRASTRUCTURETHATHASBEENPRESENTSINCEASPNET1XBESTOFALL,THISSECURITYINFRASTRUCTUREISCOMPLETELYEXTENSIBLETHROUGHTHEPROVIDERDESIGNPATTERN,ASYOULLSEEINCHAPTER26GOINGEVENFURTHER,ASPNET35EXTENDSTHISINFRASTRUCTUREWITHFUNCTION

19、ALITYFORINTEGRATIONINTOAJAX,THISCHAPTERPROVIDESAROADMAPTOTHESECURITYFEATURESINASPNETINSUBSEQUENTCHAPTERS,YOULLDIGDEEPERINTOEACHOFTHETOPICSCOVEREDINTHISCHAPTERHERE,YOULLGETAQUICKINTRODUCTIONTOTHEKEYFEATURESOFNETSECURITYYOULLSEEHOWTHENETAUTHENTICATIONPROVIDERSANDAUTHORIZATIONMODULESARESTRUCTURED,ANDYO

20、ULLLEARNHOWTHEUSERSSECURITYCONTEXTISREPRESENTEDWITHIDENTITYANDPRINCIPALOBJECTSMOSTIMPORTANT,YOULLGETABASICUNDERSTANDINGOFHOWYOUCANINCORPORATESECURITYINTOYOURAPPLICATIONARCHITECTUREANDDESIGN,ANDYOULLSEEWHATTHEMOSTIMPORTANTFACTORSAREFORCREATINGSECURESOFTWAREWHATITMEANSTOCREATESECURESOFTWAREALTHOUGHTHE

21、SECURITYFRAMEWORKPROVIDEDBYNETANDASPNETISPOWERFUL,ITSESSENTIALTOKEEPSOMEBASICPRINCIPLESINMINDANDUSETHEFEATURESCORRECTLYANDATTHERIGHTTIMEINALLTOOMANYPROJECTS,SECURITYISTREATEDASANAFTERTHOUGHT,ANDARCHITECTSANDDEVELOPERSFAILTOCONSIDERITINTHEEARLYSTAGESBUTWHENYOUDONTKEEPSECURITYINMINDFROMTHEBEGINNINGWHI

22、CHMEANSINYOURAPPLICATIONARCHITECTUREANDDESIGNHOWCANYOUUSEALLTHESECURITYFEATURESOFFEREDBYTHENETFRAMEWORKCORRECTLYANDATTHERIGHTTIMETHEREFORE,ITSESSENTIALTOINCLUDESECURITYFROMTHEFIRSTMOMENTOFYOURDEVELOPMENTPROCESSTHATSTHEONLYWAYTOMAKETHERIGHTSECURITYRELATEDDECISIONSWHENCREATINGYOURARCHITECTUREANDDESIGN

23、SUNDERSTANDINGPOTENTIALTHREATSCREATINGASECUREARCHITECTUREANDDESIGNREQUIRESTHATYOUHAVEANINDEPTHUNDERSTANDINGOFYOURAPPLICATIONSENVIRONMENTYOUCANTCREATESECURESOFTWAREIFYOUDONTKNOWWHOHASACCESSTOYOURAPPLICATIONANDWHEREPOSSIBLEPOINTSOFATTACKMIGHTBETHEREFORE,THEMOSTIMPORTANTFACTORFORCREATINGASECUREAPPLICAT

24、IONARCHITECTUREANDDESIGNLIESINAGOODUNDERSTANDINGOFENVIRONMENTALFACTORSSUCHASUSERS,ENTRYPOINTS,ANDPOTENTIALPOSSIBLETHREATSWITHPOINTSOFATTACK7THATSWHYTHREATMODELINGHASBECOMEMOREIMPORTANTINTODAYSSOFTWAREDEVELOPMENTPROCESSESTHREATMODELINGISASTRUCTUREDWAYOFANALYZINGYOURAPPLICATIONSENVIRONMENTFORPOSSIBLET

25、HREATS,RANKINGTHOSETHREATS,ANDTHENDECIDINGABOUTMITIGATIONTECHNIQUESBASEDONTHOSETHREATSWITHTHISAPPROACH,ADECISIONFORUSINGASECURITYTECHNOLOGYSUCHASAUTHENTICATIONORSSLENCRYPTIONISALWAYSBASEDONANACTUALREASONTHETHREATITSELFBUTTHREATMODELINGISIMPORTANTFORANOTHERREASONASYOUPROBABLYKNOW,NOTALLPOTENTIALTHREA

26、TSCANBEMITIGATEDWITHSECURITYTECHNOLOGIESSUCHASAUTHENTICATIONORAUTHORIZATIONINOTHERWORDS,SOMEOFTHEMCANTBESOLVEDTECHNICALLYFOREXAMPLE,ABANKSONLINESOLUTIONCANUSESSLFORSECURINGTRAFFICONITSWEBSITEBUTHOWDOUSERSKNOWTHEYAREACTUALLYUSINGTHEBANKSPAGEANDNOTAHACKERSFAKEWEBSITEWELL,THEONLYWAYTOKNOWTHISISTOLOOKAT

27、THECERTIFICATEUSEDFORESTABLISHINGTHESSLCHANNELBUTUSERSHAVETOBEAWAREOFTHAT,ANDTHEREFOREYOUHAVETOINFORMTHEMOFTHISSOMEHOWSO,THE“MITIGATIONTECHNIQUE”ISNOTASECURITYTECHNOLOGYITJUSTINVOLVESMAKINGSUREALLYOURREGISTEREDUSERSKNOWHOWTOLOOKATTHECERTIFICATEOFCOURSE,YOUCANTFORCETHEMTODOSO,BUTIFYOURINFORMATIONISDE

28、SIGNEDAPPROPRIATELY,YOUMIGHTGETMOSTOFTHEMTODOITTHREATMODELINGASANANALYSISMETHODHELPSYOUDETERMINEISSUESSUCHASTHESE,NOTMERELYTHETECHNICALISSUESTHREATMODELINGISABIGTOPICTHATISBEYONDTHESCOPEOFTHISBOOKREFERTOMICHAELHOWARDANDDAVIDLEBLANCSWRITINGSECURECODE,SECONDEDITIONMICROSOFTPRESS,2002ORFRANKSWIDERSKIAN

29、DWINDOWSNYDERSTHREATMODELINGMICROSOFTPRESS,2004ALSO,THEREAREACOUPLEOFADDITIONALBOOKSFROMTHEMICROSOFTPATTERNSPRACTICESTEAMAPRESSHASITSOWNOFFERINGFORFULLDETAILSONASPNETSECURITYWITHPROASPNET20SECURITYBYRUSSBASIURAAPRESS,2007FINALLY,WEWANTTOMENTIONONELASTREFERENCEHERETHATIS,INOUROPINION,EXTREMELYIMPORTA

30、NTFORPROJECTMANAGERSANDARCHITECTSTHESECURITYDEVELOPMENTLIFECYCLEBYMICHAELHOWARDANDSTEVELIPNERMICROSOFTPRESS,2006THISBOOKFOCUSESONHOWTOMAKESURETHATSECURITYGETSANINTEGRALPARTINYOURSOFTWAREDEVELOPMENTLIFECYCLE,FROMTHEFIRSTPLANNINGSTEPSTHROUGHARCHITECTURE,DEVELOPMENT,TESTING,ANDMAINTENANCEITSUMMARIZESHO

31、WMICROSOFTSPROJECTMANAGEMENTMAKESSURESECURITYISANINTEGRALPARTOFTHEPROJECTINASMOOTHAND8PRAGMATICWAYASITDOESNTTAKEMUCHTIMETOREADTHISBOOK,WERECOMMENDTHATEVERYONEOUTTHERESHOULDREADIT,EVENIFYOUARENOTAPROJECTMANAGERORARCHITECTSECURECODINGGUIDELINESOFCOURSE,ASECUREARCHITECTUREANDDESIGNALONEDOESNTMAKEYOURAP

32、PLICATIONCOMPLETELYSECUREITSONLYONEOFTHEMOSTIMPORTANTFACTORSAFTERYOUHAVECREATEDASECUREARCHITECTUREANDDESIGN,YOUHAVETOWRITESECURECODEASWELLAGAIN,WRITINGSECURECODE,SECONDEDITIONBYMICHAELHOWARDANDDAVIDCLEBLANCMICROSOFTPRESS,2002ANDTHREATMODELINGBYFRANKSWIDERSKIANDWINDOWSNYDERMICROSOFTPRESS,2004,ASWELLA

33、STHESECURITYDEVELOPMENTLIFECYCLEBYMICHAELHOWARDANDSTEVELIPNERMICROSOFTPRESS,2006AREEXCELLENTSOURCESFORDETAILEDINFORMATIONFOREVERYDEVELOPERINTERMSOFWEBAPPLICATIONS,YOUSHOULDALWAYSKEEPTHEFOLLOWINGGUIDELINESINMINDWHENWRITINGCODENEVERTRUSTUSERINPUTASSUMETHATEVERYUSERISEVILUNTILYOUHAVEPROVENTHEOPPOSITETH

34、EREFORE,ALWAYSSTRONGLYVALIDATEUSERINPUTWRITEYOURVALIDATIONCODEINAWAYTHATITVERIFIESINPUTAGAINSTONLYALLOWEDVALUESANDNOTINVALIDVALUESTHEREAREALWAYSMOREINVALIDVALUESTHANYOUMIGHTBEAWAREOFATTHETIMEOFWRITINGTHEAPPLICATIONNEVERUSESTRINGCONCATENATIONFORCREATINGSQLSTATEMENTSALWAYSUSEPARAMETERIZEDSTATEMENTSSOT

35、HATYOURAPPLICATIONISNOTSQLINJECTABLE,NEVEROUTPUTDATAENTEREDBYAUSERDIRECTLYONYOURWEBPAGEBEFOREVALIDATINGANDENCODINGITTHEUSERMIGHTENTERSOMEHTMLCODEFRAGMENTSFOREXAMPLE,SCRIPTSTHATLEADTOCROSSSITESCRIPTINGVULNERABILITIESTHEREFORE,ALWAYSUSEHTTPUTILITYHTMLENCODEFORESCAPINGSPECIALCHARACTERSSUCHASBEFOREOUTPU

36、TTINGTHEMONTHEPAGE,ORUSEAWEBCONTROLTHATPERFORMSTHISENCODINGAUTOMATICALLYNEVERSTORESENSITIVEDATA,BUSINESSCRITICALDATA,ORDATATHATAFFECTSINTERNALBUSINESSRULEDECISIONSMADEBYYOURAPPLICATIONINHIDDENFIELDSONYOURWEBPAGEHIDDENFIELDSCANBECHANGEDEASILYBYJUSTVIEWINGTHESOURCEOFTHEWEBPAGE,MODIFYINGIT,ANDSAVINGITT

37、OAFILETHENANATTACKERSIMPLYNEEDSTOSUBMITTHELOCALLYSAVED,MODIFIEDWEBPAGETOTHESERVERBROWSERPLUGINSAREAVAILABLETOMAKETHISAPPROACHASEASYASWRITINGANEMAILWITHMICROSOFTOUTLOOK9NEVERSTORESENSITIVEDATAORBUSINESSCRITICALDATAINVIEWSTATEVIEWSTATEISJUSTANOTHERHIDDENFIELDONTHEPAGE,ANDITCANBEDECODEDANDVIEWEDEASILYI

38、FYOUUSETHEENABLEVIEWSTATEMACTRUESETTINGFORYOURPAGE,VIEWSTATEWILLBESIGNEDWITHAMESSAGEAUTHENTICATIONCODETHATISCREATEDBASEDONAMACHINEKEYOFTHEWEBSERVERSMACHINECONFIGWERECOMMENDUSINGENABLEVIEWSTATEMACTRUEASSOONASYOUINCLUDEDATAINYOURVIEWSTATETHATSHOULDNOTBECHANGEDBYUSERSBROWSINGYOURWEBPAGEENABLESSLWHENUSI

39、NGBASICAUTHENTICATIONORASPNETFORMSAUTHENTICATIONCHAPTER20DISCUSSESFORMSAUTHENTICATIONSSLISDISCUSSEDLATERINTHISCHAPTERINTHESECTION“UNDERSTANDINGSSL”PROTECTYOURCOOKIESALWAYSPROTECTYOURAUTHENTICATIONCOOKIESWHENUSINGFORMSAUTHENTICATION,ANDSETTIMEOUTSASSHORTASPOSSIBLEANDONLYASLONGASNECESSARYUSESSLINGENER

40、AL,IFYOURWEBAPPLICATIONPROCESSESSENSITIVEDATA,SECUREYOURWHOLEWEBSITEUSINGSSLDONTFORGETTOPROTECTEVENIMAGEDIRECTORIESORDIRECTORIESWITHOTHERFILESNOTMANAGEDBYTHEAPPLICATIONDIRECTLYTHROUGHSSLOFCOURSE,THESEAREJUSTAFEWGENERAL,IMPORTANTISSUESTOGETACOMPLETEPICTUREOFTHESITUATIONINTERMSOFYOURCONCRETEAPPLICATIO

41、N,YOUHAVETOCREATETHREATMODELSINORDERTOCOMPILEACOMPLETELISTOFPOTENTIALDANGERSINADDITION,INVESTINONGOINGEDUCATION,BECAUSEHACKERSTECHNIQUESANDTECHNOLOGIESEVOLVEJUSTASOTHERTECHNIQUESANDTECHNOLOGIESDOIFYOUFORGETABOUTJUSTONEOFTHESEGUIDELINES,ALLTHEOTHERSECURITYFEATURESAREMOREORLESSUSELESSNEVERFORGETTHEFOLLOWINGPRINCIPLESECURITYISONLYASGOODASYOURWEAKESTLINK

Copyright © 2018-2021 Wenke99.com All rights reserved

工信部备案号浙ICP备20026746号-2  

公安局备案号:浙公网安备33038302330469号

本站为C2C交文档易平台,即用户上传的文档直接卖给下载用户,本站只是网络服务中间平台,所有原创文档下载所得归上传人所有,若您发现上传作品侵犯了您的权利,请立刻联系网站客服并提供证据,平台将在3个工作日内予以改正。