1:SQL 注入:
解决方案:
a. 这个问题主要是由于传入特殊字符引起的我们可以在对输入的用户名密码进入过滤特殊字符处理。
b. 使用存储过程通过传入参数的方法可解决此类问题(注意:在存储过程中不可使用拼接实现,不然和没用存储过和是一样的)。
2. XSS(跨站脚本攻击):
解决方案:
a. 通过在 Page 指令或 配置节中设置 validateRequest="false" 禁用请求验证,然后我们对用户提交的数据进行 HtmlEncode,编码后的就不会出现这种问题了(ASP.NET 中编码方法:Server.HtmlEncode(string))。
b. 第二种是过滤特殊字符,这种方法就不太提倡了,如果用户想输入小于号(<)也会被过滤掉
3.CSRF(跨站点请求伪造):
解决方案:
修改信息时添加验证码或添加 Session 令牌(ASP.NET中已经提供一个自动防范的方法,就是用页面属性 ViewStateUserKey。在Page_Init方法中设置其值:this.ViewStateUserKey = Session.SessionID)。
4. 文件上传:
解决方案:
在用户登录时加入是否可上传文件的 Session 标志。其实 Fckeditor 已经写好了。直接把验证函数 CheckAuthentication() 中的注释段中CheckAuthentication()
return ( Session[ "IsAuthorized" ] != null && (bool)Session[ "IsAuthorized" ] == true );
注释去掉。在登录成功加入登录成功 JS 代码
Session[“IsAuthorized”] = true;
分享到:
相关推荐
asp_net网站安全常见问题与防范 - 肖品 - 博客园 我看了,觉得蛮好,所以和大家分享一下
提高ASP_NET应用程序的安全性ASP. NET 和. NET Framework 联合IIS 为Web 应用程序安全提供了一个基础结构,可以利用. NET 安全架 构的内置特性来保证应用程序的安全性。. NET 安全架构包含很多类,这些类用户处理身份...
基于ASP_NET的网站设计安全问题研究
ASP_NET安全身份验证技术的应用ASP_NET安全身份验证技术的应用ASP_NET安全身份验证技术的应用ASP_NET安全身份验证技术的应用ASP_NET安全身份验证技术的应用ASP_NET安全身份验证技术的应用
搭建一个安全的ASP_NET网站
第11章 网站安全之道 第12章 身份验证与授权 第13章 ASP.NET Web API 2概述 第14章 自动测试完整功略 第15章 网站部署 第16章 CMS范例实验 附录A ASP.NET MVC 5.1与ASP.NET MVC 5.2 附录B ASP.NET MVC 6
asp.net安全编程 Wrox_Beginning_ASP_NET_Security
Net实战商用源码---ASP.NET安全生产信息报送系统源码
基于ASP_NET和SQLServer技术开发煤矿安全信息管理系统.pdf
以c#为开发语言,通过案例介绍了asp.net web开发的基础技术体系,主要包括asp.net技术框架、c#语言基础、 asp.net web窗体、asp.net网站设计、asp.net数据库编程、网站安全与验证、 asp.netajax技术、asp.net xml...
丰富实用的网站安全性技术;详解Web API、ASP.NET Identity技术:完整的CMS范例分析;充分运用MVC的技术与特性;抢先预览ASRNETvNext及MVC 6等;是一本内容丰富且扎实的教材与技术参考书。 本书作者在ASP.NET MVC...
10.整站以静态HTML页面展示,无动态提交注入式网站安全漏洞. =========================================================== == 安装指南 =========================================================== 在IIS6/IIS...
ASP.NET与Windows 2000 Server/Advanced Server的完美组合,为中小型乃至企业级的web商业模型提供了一个更为稳定,高效,安全的运行环境。 正是基于上面的激动人心的理由,我们编写了这样一本书
ASP-NET中认证安全特征评述.docx
ASP.NET的常用内置对象、.NET的命名、如何在ASP.NET中实现事件驱动、如何在ASP.NET程序中使用Web增强控件和自定义控件、ADO.NET和使用ADO.NET进行...应用XML、如何对ASP.NET进行配置和优化以及如何在ASP.NET中实现安全等
Asp.net中基于Forms验证的角色验证授权.doc NET中加密和解密的实现方法.doc 如何做:使用 IPSec 保护两个服务器之间的通信.doc 如何做:使用 SSL 来确保与 SQL Server 2000 安全通信.doc 如何做:使用 SSL 调用 Web ...
模块化设计, 中英双语网站, 支持新闻发布(FCK Editor),相册,投稿,投票 支持生成静态html 效率,安全,模块化移植都是最好的, 全部为c#代码,代码全部含完整注释!
ASP_NET安全身份验证技术的应用[归纳].pdf
Net实战商用源码---ASP.NET360安全卫士界面源码Net实战商用源码-