Asp kebijakan biasa-biasa saja. Zberigannya deretan koneksi ke base danih
Untuk otorisasi berbasis peran dan klaim, ASP.NET Core juga mendukung otorisasi berbasis kebijakan. Kebijakan tidak lain adalah kumpulan persyaratan dengan parameter data yang berbeda untuk mengevaluasi Identitas pengguna. Lebih lanjut tentang otorisasi berbasis kebijakan. Tsey peluncuran singkat akan menunjukkan, bagaimana menerapkan satu kebijakan otorisasi di aplikasi ASP.NET Core 2.0. Satu hal, kebijakan menjadi global dan tambahan sampai akhir.
Untuk menerapkan kebijakan otorisasi tunggal, Buka Startup.cs dan setel kode baru dalam metode ConfigureServices untuk mencegah otorisasi untuk semua pengontrol (baik itu MVC atau API).
Public void ConfigureServices (layanan IServiceCollection) (services.AddMvc (o => (var policy = new AuthorizationPolicyBuilder() .RequireAuthenticatedUser() .Build()); o.Filters.Add () AuthorizeFilter (kebijakan))
Seluruh kode pengikatan, yang sisi kulitnya akan memerlukan otentikasi karena kebijakan akan menuntut pengguna untuk diautentikasi. Tilki tsi diya boule terdaftar dan dapat dibeli di vicoristani.
Otorisasi untuk semua lingkungan (Pengembangan, pementasan atau produksi) akan dicapai di depan blok kode. Namun, Anda tidak akan berperilaku sama dalam pengembangan jalan tengah baru, yang dapat mengarah pada hasil tes. Adalah bermanfaat untuk menjanjikan pengembangan pusat baru. Untuk mengecualikan lingkungan pengembangan, kita perlu memeriksa lingkungan dan menulis kode yang sesuai. Metode ConfigureServices ke layanan IHostingEnvironment dan memeriksa lingkungan pengembangan. Yak:
Public void ConfigureServices (layanan IServiceCollection, IHostingEnvironment env) (if (! Env.IsDevelopment ()) (services.AddMvc (o =>
Ular zastosovuvati dan keruvannya tsim lampiran. Dan Anda akan terkejut melihat pesan pengecualian berikut di browser.
"Metode ConfigureServices harus tanpa parameter atau hanya mengambil parameter tipe IServiceCollection."
Pesan dengan jelas mengatakan, metode ConfigureServices harus tanpa parameter atau hanya dengan satu parameter. Oleh karena itu, kami tidak dapat secara langsung menyuntikkan IHostingEnvironment ke dalam metode ConfigureServices. Pertanyaannya adalah bagaimana kita membuatnya tersedia dalam metode ConfigureServices?
Nah, kita bisa memasukkan layanan IHostingEnvironment di konstruktor kelas Startup dan menyimpannya dalam sebuah variabel. Dengan konstruktor kelas Startup, mem-flash IConfigurationRoot, menyiapkan ConfigurationBuilder, dan bahkan properti di Startup bernama Configuration. Anda dapat mempercepat solusi untuk IHostingEnvironment itu sendiri, untuk mempertahankannya di Startup, untuk pendaftaran sisanya di ConfigureServices. Konstruktor kelas Startup akan terlihat seperti ini:
Startup Publik (Konfigurasi IC, IHostingEnvironment env) (Konfigurasi = konfigurasi; HostingEnvironment = env;) Konfigurasi IHostingEnvironment Publik (dapatkan;) IHostingEnvironment publik
Sekarang, kita dapat memilih variabel HostingEnvironment dalam metode ConfigureServices untuk mengubah jalan tengah. Kami akan mengaktifkan otorisasi
Public void ConfigureServices (layanan IServiceCollection) (jika (! HostingEnvironment.IsDevelopment ()) (services.AddMvc (o => (var policy = new AuthorizationPolicyBuilder () .RequireAuthenticatedUser () .Build ()); (kebijakan));)) ;) layanan lain.AddMvc();
Kiat Bonus: Jika Anda cepat, periksa JWT untuk autentikasi OAuth untuk aplikasi Anda dan ingin menonaktifkan autentikasi di lingkungan pengembangan, lalu gunakan kode berikut dalam metode ConfigureServices.
If (HostingEnvironment.IsDevelopment ()) (services.AddMvc (opts => (opts.Filters.Add (AllowAnonymousFilter baru ());));) else (services.AddMvc ();)
Demi kejelasan, teknologi menampilkan Bantuan, untuk menerapkan hanya kebijakan otorisasi Global di aplikasi ASP.NET Core 2.0. Anda dapat dengan mudah memenuhi kondisi untuk pendinginan atau produktivitas di tengah-tengah koloni.
Terima kasih telah membaca. Terus kunjungi blog tsei saya bagikan ini di jaringan Anda. Silakan masukkan pemikiran dan tanggapan Anda di bagian komentar.
ASP.NET MVC bukan hype, melainkan untuk mencapai tumpukan populer di tengah pengembangan web. Dari tampilan (anti) hacker, fungsionalitasnya standar, jadi aman untuk menggunakan aturan dasar, tetapi untuk trik hacker yang lebih banyak, itu perlu dilakukan. Di bagian atas statistik, dasarnya jelas, karena bangsawan keamanan vendor ASP.NET (sesuatu yang Core, MVC, MVC Razor atau Web Forms) bersalah.
Catatan: kami akan menjual serangkaian publikasi artikel versi terbaru dari majalah Hacker. Ejaan dan tanda baca penulis disimpan.
Saya pikir ini banyak keberuntungan bagi saya, tetapi ASP.NET MVC dapat mencapai puncak teknologi populer. Jika teknologi tidak untuk hype untuk waktu yang lama, ale akan minum di situs web .NET-Internet untuk mencapai yang teratas.
Pada saat yang sama, sebelum jam pengembangan, perlu untuk memastikan bahwa aspek-aspeknya aman. Ingin memiliki jenis serangan klasik yang fungsional dan ryatu, tetapi sejumlah besar trik diperlukan peretas untuk melakukannya. Mari kita lihat jenis serangan dan cara membunuh yang paling populer. Harus tahu untuk sumber ASP.NET (sesuatu Core, MVC, MVC Razor atau WebForms).
Yang terpenting, ada banyak jenis serangan.
Injeksi SQL
Tidak mengherankan, tetapi pada tahun 2017 pertumbuhan Injection dan SQL Injection berada di peringkat pertama di antara 10 Besar Risiko tanpa OWASP (Proyek Keamanan Aplikasi Web Terbuka).
Penerapan SQL klasik lebih cepat dan lebih khas untuk penambahan Formulir Web.
Dari serangan hingga bantuan tambahan, parameter pemenang ditangkap sebagai nilai catu daya:
string commandText = "UPDATE Pengguna SET Status = 1 WHERE CustomerID = @ID;"; Perintah SqlCommand = new SqlCommand (commandText, connectionString); command.Parameters.AddWithValue ("@ ID", customerID);
Segera setelah Anda mengembangkan add-on MVC, Entity Framework akan menambah berbagai hal. Agar MVC / EF memiliki suplemen penyemprotan SQL ', Anda harus pintar. Namun, ini berguna jika Anda melihat kode SQL di balik bantuan ExecuteQuery, atau jika Anda melihat prosedur yang ditulis dengan buruk untuk disimpan.
Tidak penting bagi mereka yang memungkinkan ORM untuk mendeteksi SQL Injection secara unik (untuk beberapa alasan, menunjuk ke pantat), disarankan untuk menghubungkan atribut nilai, yang dapat mencakup bidang model, dan itu berarti formulir. Misalnya, jika Anda mengandalkan rasa hormat, tetapi di lapangan Anda dapat memiliki perkenalan tanpa teks, maka untuk bantuan Regex, Anda dapat menggunakan kisaran ^ + $
Segera setelah angka dimasukkan di bidang, tambahkan yang berikut ini:
Zip string publik (dapatkan; setel;)
Dengan WebForms, Anda dapat menggunakan validator tambahan. Pantat:
Memperbaiki dengan .NET 4.5 WebForms Unobtrusive Validation. Dan tse berarti tidak perlu menulis kode tambahan untuk mengubah arti formulir.
Validasi hadiah pegas juga dapat diselesaikan dengan nama Cross-Site Scripting (XSS).
XSS
Bokong XSS yang khas - menambahkan skrip ke komentar dan menulis buku untuk tamu. Misalnya, ini:
Yak vi rosumієte, dalam lampiran cookie ini dari situs Anda, berikan parameter yak ke situs peretas.
Untuk Formulir Web, Anda dapat menulis maaf untuk bantuan dengan kira-kira kode berikut:
Vibachte<%= username %>, ale kata sandi pomilkovy
Zrozumіlo, cara mengganti username bisa script. Jika Anda ingin melihat skrip secara unik, Anda dapat menggunakan file ASP.NET yang paling tidak disedot:<%: username %>, scho encode sv_y vm_st.
Saat Anda memilih Razor, baris akan otomatis dipanggang. Jadi untuk memperbaiki XSS, Anda perlu mencoba dan meminta maaf. Misalnya, vikoristovuvati .Raw (Model.nama pengguna). Untuk model Anda vikoristovuvati MvcHtmlString ganti string
Untuk pengambilan tambahan data XSS, kode dikodekan dalam C #. Di NET Core, Anda dapat menggunakan encoder ini dari ruang nama System.Text.Encodings.Web: HtmlEncoder, JavaScriptEncoder dan UrlEncoder
Saham ofensif mengubah baris "