Резюме

Ни одно приложение никогда не может быть абсолютно безопасным, и в этой главе мы рассмотрели несколько уязвимостей, и узнали, как защитить наши приложения ASP.NET MVC.

Мы изучили применение AuthorizeAttribute для обеспечения аутентификации и авторизации доступа к действиям. Мы обсудили межсайтовый скриптинг, и научились никогда не доверять пользовательскому вводу и кодировать все вводные данные в HTML. Межсайтовые подделки запросов нейтрализуются с помощью ValidateAntiForgeryTokenAttribute, который проверяет, исходят ли входные данные от надежных источников. Наконец, мы рассмотрели некоторые клиентские сценарии и узнали, как ASP.NET MVC помогает защититься от атаки JSON hijacking, и как явно внести изменения в JsonResult.

До сих пор в большинстве наших примеров использовалась структура URL-адресов по умолчанию: /controller/action/id. В следующей главе мы рассмотрим, как можно использовать маршрутизацию URL в ASP.NET, чтобы строить индивидуальную схему URL-адресов, которая может быть адаптирована к нашим приложениям.