ASP.NET MVC 4 в действии

ASP.NET MVC 4 в действии

Джеффри Палермо

Безопасность

В этой главе рассматриваются:

  • Обязательная аутентификация и авторизация
  • Предотвращение атак межсайтового скриптинга
  • Снижение риска межсайтовой подделки запроса
  • Как избежать атаки JSON hijacking

В предыдущих главах мы рассмотрели Ajax и валидацию на стороне клиента. В этой главе мы продолжим обсуждать проблемы на стороне клиента и научимся защищать наши приложения от вредоносного ввода. Безопасность является одним из важнейших вопросов для онлайн-сервисов. Мы часто видим сообщения в новостях о громких взломах систем, где хакеры смогли украсть личную информацию или в сети были раскрыты конфиденциальные данные.

Печальная реальность такова, что многие из этих инцидентов можно было бы легко предотвратить. Как разработчикам нам необходимо создавать наши приложения с учетом требований безопасности для предотвращения такого рода проблем.

Хотя безопасность является достаточно большой темой, достойной отдельной книги, в этой главе мы рассмотрим некоторые возможности ASP.NET MVC для защиты наших приложений. Мы рассмотрим простые механизмы для реализации аутентификации и авторизации, которые предоставляет ASP.NET MVC, некоторые общие векторы атак и как можно снизить риски от таких атак, как межсайтовый скриптинг (XSS), межсайтовая подделка запросов (XSRF) и особый тип XSRF - JSON hijacking.

Аутентификация и авторизация

Межсайтовый скриптинг

Подделка межсайтовых запросов

Резюме

или RSS канал: Что новенького на smarly.net