• 阻止CSRF(跨站请求伪造)

  ASP.NET MVC提供了一个阻止CSRF攻击的好方法

  在每个提交的表单中包含

  

@using (Html.BeginForm("Index", "Home", FormMethod.Post))

{

    //调用@Html.AntiForgeryToken()生成一个防伪标记

    @Html.AntiForgeryToken()

    <input type="text" name="text"/>

    <input type="submit" value="提交" />

}

  在请求的控制器的控制器操作上声明[ValidateAntiForgeryToken]特性

  

[ValidateAntiForgeryToken]

public ActionResult Index(string text)

{

    .........

    return View();

}
  •  HttpReferrer验证

  验证提交表单的客户端是否在目标站点上

public class IsPostendFromThisSiteAttribute :AuthorizeAttribute

{

     public override void OnAuthorize(AuthorizationContext filterContext)

    {

          if(filterContext.httpContext!=null)

          {

                if(filterContext.httpContext.Request.UrlReferrer==null)

               {

                    throw new System.Web.HttpException("无效提交");

               }

              if(filterContext.httpContext.Request.UrlReferrer.Host=!="mysite.com")

               {

                    throw new System.Web.HttpException("非法的提交站点"");

               }

          }

    }

}

  然后再添加自定义的过滤器

[IsPostedFromThisSite]

public ActionResult Register(…)
  •   使用HttpOnly防止Cookie被盗窃获取

  可以在程序中为编写的每个cookie单独设置,告知浏览器除了服务器能修改设置Cookie之外,其他的操作均无效

 

Respone.Cookies["password"]="123456";

Respone.Cookies["password"].HttpOnly=true;

  

  •   使用Bind特效防御重复提交攻击

  Bind特效既可以放在模型类上,也可以放在控制器上。

  1.   白名单方法允许绑定的字段如:[Bind(Include=“Name,Age”)]
  2.   或是黑名单禁止绑定的字段:[Bind(Exclude=“StduentID”)]
  3.   或是直接绑定到视图模型,直接包含自己想要绑定的字段

[ASP.NET MVC]笔记(三) 成员资格、授权和安全性的更多相关文章

  1. MVC中的成员资格,授权,安全性

    使用 Authorize 特性登录 Authorize 是 ASP.NET MVC 自带的默认授权过滤器, 可用来限制用户对操作方法的访问. 保护控制器操作 Authorize 特性在表单身份验证和 ...

  2. ASP.NET MVC 过滤器(三)

    ASP.NET MVC 过滤器(三) 前言 本篇讲解行为过滤器的执行过程,过滤器实现.使用方式有AOP的意思,可以通过学习了解过滤器在框架中的执行过程从而获得一些AOP方面的知识(在顺序执行的过程中, ...

  3. ASP.NET MVC 视图(三)

    ASP.NET MVC 视图(三) 前言 上篇对于Razor视图引擎和视图的类型做了大概的讲解,想必大家对视图的本身也有所了解,本篇将利用IoC框架对视图的实现进行依赖注入,在此过程过会让大家更了解的 ...

  4. ASP.NET MVC 路由(三)

    ASP.NET MVC路由(三) 前言 通过前两篇的学习会对路由系统会有一个初步的了解,并且对路由系统中的Url规则有个简单的了解,在大家的脑海中也有个印象了,那么路由系统在ASP.NETMVC中所处 ...

  5. asp.net mvc笔记一,最小的MVC工程

    Asp.net MVC项目默认会引用很多第三方插件,特别是现在的5.0,默认示例项目就几十M,搞得都不知道那些才是MVC必须的,是重点,那些是可有可无的. 今天我们就来试验一下,看看一个最小的MVC工 ...

  6. (转)Asp.Net MVC中身份认证和授权

    MVC自带的ActionFilter 在Asp.Net WebForm的中要做到身份认证微软为我们提供了三种方式,其中最常用的就是我们的Form认证,需要配置相应的信息.例如下面的配置信息: < ...

  7. ASP.NET MVC 第三回 Controller与View

    这节我们让ASP.NET MVC真正的跑起来 一.新建Controller 首先我们自己新建一个新的Controller在Controllers上点右键,添加,Controller选项   之后出现一 ...

  8. Pro ASP.NET MVC –第三章 MVC模式

    在第七章,我们将创建一个更复杂的ASP.NET MVC示例,但在那之前,我们会深入ASP.NET MVC框架的细节:我们希望你能熟悉MVC设计模式,并且考虑为什么这样设计.在本章,我们将讨论下列内容 ...

  9. ASP.NET MVC进阶三

    一.ASP.NET MVC中的AJAX应用 首先,在ASP.NET MVC中使用自带的ajax功能,必须要导入2个js文件(顺序不能颠倒): ASP.NET MVC提供了2个常用的ajax辅助方法. ...

随机推荐

  1. 网络爬虫Web开始

    一.介绍 该程序主体是<Python核心编程第二版>例20.2.本篇会修改部分代码及添加了相关注释. ps:该书该例程不能直接运行,需要修改. 二.功能 网络爬虫crawl.py抓取web ...

  2. jquery.cityselect.js基于jQuery+JSON的省市或自定义联动效果

    一.插件介绍 最早做省市联动的时候都特别麻烦,后来在helloweba的一篇文章中看到这个插件,很不错的,后来就一直用了. 省市区联动下拉效果在WEB中应用非常广泛,尤其在一些会员信息系统.电商网站最 ...

  3. 关于ajax请求rul时意外结束符号

    最终解决办法:web.config 中添加节点 <webServices>     <protocols>         <add name="HttpPos ...

  4. Springboot+redis 整合

    运行环境: JDK1.7. SpringBoot1.4.7 redis3.0.4 1.生成Springboot项目,分别添加web,redis依赖,具体的maven依赖如下 <dependenc ...

  5. PyCharm中光标变粗的解决方法

    pycharm中光标变粗,如下: 原因:光标进入了改写状态. 解决方法:按一下键盘中的Insert键就好了.

  6. Misra-Gries 算法

    2017/8/13 12:51:30 一.算法解决的问题 统计频繁项:统计一个数据流中出现频率最高的 k 的元素. 例如 问:k=3,统计数据流 [1,2,1,4,2,5,6,4] 中的频繁项. 答: ...

  7. Spring 并发访问的线程安全性问题

    首先对于spring的IOC来说,对象是由Spring来帮我们管理,也就是在Spring启动的时候,在Spring容器中,由Spring给我们创建的,Spring会帮我们维护,一般都是单例的,也就是一 ...

  8. [bzoj4832]抵制克苏恩 概率dp

    考试的时候打了个搜索,时间比较短,样例又非常的弱,实在不太清楚他这个到底是什么意思. 不过lc大神好腻害,讲解了一下非常的清楚了. f[i][j][k][l]表示第i次伤害(啊),一滴血j个,两滴血k ...

  9. HTML 文本格式化实例 超链接

     HTML 文本格式化实例 1.文本格式化 <b>加粗文字</b> <strong>加重语气</strong> <big>dingyi< ...

  10. 借助AMD来解决HTML5游戏开发中的痛点

    借助AMD来解决HTML5游戏开发中的痛点 游戏开发的痛点 现在,基于国内流行引擎(LayaAir和Egret)和TypeScript的HTML5游戏开发有诸多痛点: 未采用TypeScript编译器 ...