使用ASP.NET
应用程序我使用自定义的HttpModule
这个HttpModule
拦截每个传入的请求并检查连接的用户是否可以访问请求的页面,如果没有将其重定向到Error页面,则实现了页面级别的访问控制。HttpModule安全性是否足以保证asp.net应用程序的安全性?
- 是这种做法足以保证应用程序的安全性还是很容易地绕过它,
- 和你有什么建议,以改善它?
在此先感谢。
使用ASP.NET
应用程序我使用自定义的HttpModule
这个HttpModule
拦截每个传入的请求并检查连接的用户是否可以访问请求的页面,如果没有将其重定向到Error页面,则实现了页面级别的访问控制。HttpModule安全性是否足以保证asp.net应用程序的安全性?
在此先感谢。
只要标准库中没有任何东西可以用于你想要的东西,这应该没问题,只要你已经充分测试了你的模块。您无法绕过HttpModule而无法访问服务器本身来修改web.config文件,并且如果攻击者已经这样做了,那么这是您最担心的问题!
如果标准库中有某些东西可以使用,您应该更喜欢这一点,因为它不可避免地会被其他人广泛测试!
我建议你为你的模块写一套体面的单元测试,因为它会构成你的应用程序的主要防线!
是这种做法足以保证应用程序的安全性还是很容易地绕过它,
这是不够好,以确保每一个用户被授权调用的URL。
它确实没有保护您免受形成SQL注入基础的常见攻击 - 不良参数验证和文本到SQL atocieties。
目前我不同意这些wories到另一个步骤。现在我只专注于让用户访问我不允许访问的页面 –
您使用的是什么类型的身份验证? – Matthew
我正在使用一个自定义的。 –