ASP.NET MVC中的安全性

目录

介绍

认证

表单身份验证

Windows身份验证

如何配置表单身份验证？

我们如何使用Windows身份验证进行身份验

XSS

Anti XSS Library

跨站点请求伪造

那问题是什么？

我们怎样才能防止这种情况？

介绍

在本文中，我想解释一些在开发安全的ASP.NET MVC应用程序时应该注意的安全措施。在本文中，我将解释：

• 认证
• 授权
• XSS
• CSRF（跨站请求伪造）

认证

对用户进行身份验证时，您将验证用户的身份。如果您需要验证MVC应用程序中的用户，可能是因为您正在构建一个限制对特定用户的访问的应用程序。这与授权完全分开，授权决定是否允许特定人员执行某项操作。

MVC中有两种身份验证机制：

• 表单身份验证
• Windows身份验证

表单身份验证

基于表单的身份验证提供了一个输入表单，用户可以在该表单中输入用户名和密码以及验证这些凭据所需的应用程序中的逻辑。MVC为表单身份验证提供了大量基础结构支持。表单身份验证是高度可自定义的，您可以自定义从登录表单到凭据存储位置以及如何验证这些凭据的所有内容。ASP.NET中的表单身份验证默认情况下依赖于Cookie。用户登录到应用程序后，运行时可以在浏览器上发出cookie。然后，浏览器将向每个后续请求发送cookie给应用程序。ASP.NET将看到cookie并知道用户已经通过身份验证，无需再次登录。

注意：要使表单身份验证安全，需要使用SSL警告。如果您通过http运行应用程序，则任何窥探网络的人都可以看到用户凭据。

Windows身份验证

Windows身份验证也称为集成身份验证，因为Windows操作系统中内置的用户组件用于对用户进行身份验证。用户登录到域后，Windows可以自动将其验证到应用程序中。Windows身份验证通常用于在公司防火墙内运行的Intranet应用程序，其中所有用户都登录到Windows域。它将提供单点登录体验。他们在域中登录一次，并可以通过多个Intranet应用程序进行身份验证。

我们何时选择表单身份验证以及何时选择Windows身份验证？

• 如果您想构建一个公共网站，那么表单身份验证最好，因为它可以在Windows域之外使用。
• 如果要构建使用Windows标识运行的Intranet应用程序，请使用Windows身份验证。

如何配置表单身份验证？

首先，我们需要在web.config中更改配置，如下所示：