WEB开发原则
1.最小权限原则,只允许用户做****,而不是"不允许用户做****"
2.浏览器查看的是服务端代码的执行输出的文本,除非服务器有漏洞,否则浏览者无法查看
服务端的ASPX,CS代码,目标另存为也是保存ASPX的执行结果,而看不到ASPX的源代码,
JS,HTML是被输出到浏览器上执行的,因此无法禁止浏览者查看JS,HTML
3.C#代码是运行在服务器端的,JS代码是运行在浏览器客户端的
4.能在浏览器端完成的事情,就不要到服务端去做
5.客户端是不可信的
6.能直接将生成的内容以流的形式输出给纵览器,就不要生成临时文件
原则1:
C#代码是运行在服务器端的,JS代码是运行在客户端
按钮确认提交的实现(在button中的onclick中写)
<input type="submit name="delete" value="删除" onclick="return confirm('确认删除?')"" />
代码是运行在浏览器端的,和服务器端没有关系
在服务器端"弹出消息窗口"
Response.Write("<script type='text/javascript'>alert('删除成功!')</script>");
并不是真的是在服务器端运行的,只是生成了JAVASCRIPT代码到浏览执行,不推荐用些方法,推荐
用后面讲的RegisterClientStartupScript,只是渲染到浏览器端
案例1:
在项目中添加对System.Windows.Forms的引用,然后MessageBox.Show("Hello");
经远程访问测试,C#代码是运行在服务器端的,Hello弹出在服务端
127.0.0.1是加环地址(LOOPBACK),localhost就是127.0.0.1的别名,是无法在外部访问的
0.0.0.0 任意IP,不用写死绑定的IP,可以用于任何IP都可能访问网络程序
案例2:
在ASP.NET中,可以在访问者磁盘中创建木马文件
File.WriteAllText("c:/muma.exe","木马(){QQ木马();机器狗();灰鸽子();});
有CassiniDev.exe启动测试,exe生成到了服务器的磁盘中,而不是访问者的磁盘中,因此C#
代码是运行在服务器中的,而不是浏览器中
案例3:
两个学生分别访问点击自增1的界面,互不影响,因为不同用户的变量内容是隔离的
原则2:
能在浏览器端完成的事情,就不要到服务端去做
按钮隐藏一个控件就不要写服务端代码,在客户端用JAVASCRIPT,DOM来操作就可以,
比如要操作数据库,显然是在浏览器端做不到的,这时候就要写服务端代码,校验用户名,密码
这样的操作可以放到浏览端(用户名,密码是写死的),技术上可以,但是这样安全性太差,因此
必须放到服务器端
原则3:
客户端验证不能代替服务器端验证
用客户端验证取款金额不能高于100元,如果客户端把 JAVASCRIPT 禁用了,验证将不生效
客户端校验是为了很好的客户端体验,服务器端校验是最后一次把关,防止恶意请求
后面讲的 Validation就是ASP.NET内置的数据校验技术,会在客户端和服务器端同时校验
原则4:
不要把机密信息隐藏在HTML中
只有密码输对了才显示下载地址,如果在客户端判断,先将下载地址隐藏,对了对显示,用户
可以查看源码得到,密码与下载地址
应该在服务端控制密码不对则 Visible=False,服务端控件的
HyperLink1.Visible = false 是根本不输出到客户端的
应该是在机密页面打开之前做权限校验,而不是在一个页面中做校验,如果正确就导向
WEB开发原则的更多相关文章
- html5文章 -- 使用 jQuery Mobile 与 HTML5 开发 Web App ——开发原则 | Kayo's Melody
最近专注研究 jQuery Mobile —— 一款很方便就可以把 Web App 包装成适合 Android 与 iPhone 等触屏移动设备的 Javascript 库,结合 jQuery Mob ...
- .NET Web开发技术简单整理
在最初学习一些编程语言.一些编程技术的时候,做的更多的是如何使用该技术,如何更好的使用该技术解决问题,而没有去关注它的相关性.关注它的理论支持,这种学习技术的方式是短平快.其实工作中有时候也是这样,公 ...
- Web开发技术发展历史
Web开发技术发展历史 来自:天码营 原文:http://www.tianmaying.com/tutorial/web-history Web的诞生 提到Web,不得不提一个词就是"互 ...
- Web开发基本准则-55实录-Web访问安全
Web开发工程师请阅读下面的前端开发准则,这是第一部分,强调了过去几年里我们注意到的Web工程师务须处理的Web访问安全基础点.尤其是一些从传统软件开发转入互联网开发的工程师,请仔细阅读,不要因为忽视 ...
- 前端文摘:Web 开发模式演变历史和趋势
今天的<前端文摘>给大家分享一篇玉伯的文章.文章详细介绍了 Web 开发的四种常用模式以及未来可能成为流行趋势的 Node 全栈开发模式,相信你看了以后一定会有收获. 您可能感兴趣的相关文 ...
- 10 位顶级 PHP 大师的开发原则
10 位顶级 PHP 大师的开发原则 ruby_chen 发布于: 2013年03月28日 (61评) 分享到: 收藏 +139 #深圳# 6月10日 亚马逊AWSome Day云计算免费培训报 ...
- 个人的java web开发书单
首发至个人博客http://www.zidafone.com/blog/36 以下是对一些读过的书和一些买后随便翻了翻的书的个人感觉.都是java web开发的程序员可能接触的书,其他的如设计/手机开 ...
- 【转】利用 Bootstrap 进行快速 Web 开发
原文转自:http://blog.jobbole.com/53961/ 了解如何使用 Bootstrap 快速开发网站和 Web 应用程序(包括移动友好型应用程序).Bootstrap 以 LESS ...
- Flask —— 使用Python和OpenShift进行即时Web开发
最近Packtpub找到了我,让我给他们新出版的关于Flask的书写书评.Flask是一个很流行的Python框架.那本书是Ron DuPlain写的<Flask 即时Web开发>.我决定 ...
随机推荐
- 解决IE下iframe默认有白色背景的bug
又是一个IE莫名其妙的bug:做了一个弹出层,层里面是一张透明图片,IE下的iframe默认会有一个白色的背景,所以当iframe的外围背景并不是白色的时候,这个iframe就会显得非常的“与众不同” ...
- 如何在eclipse中安装Jess
如何在eclipse中安装Jess 浏览:49 | 更新:2014-05-12 16:39 这个文章帮了不少忙,感谢! 但经我实践,还要把插件那些文件向/dropins/sdk下也放一份,才能成功. ...
- iOS开发中使用CIDetector检测人脸
在iOS5 系统中,苹果就已经有了检测人脸的api,能够检测人脸的位置,包括左右眼睛,以及嘴巴的位置,返回的信息是每个点位置.在 iOS7中,苹果又加入了检测是否微笑的功能.通过使用 CIDetect ...
- Visual C++中的编译器优化
博客搬到了fresky.github.io - Dawei XU,请各位看官挪步.最新的一篇是:Visual C++中的编译器优化.
- Sqlserver到处数据到Excel
转:http://www.cnblogs.com/litianfei/archive/2007/08/10/850823.html ) drop procedure [dbo].[p_exporttb ...
- mysql优化之查询优化
Posted by Money Talks on 2012/02/24 | 第一篇 序章第二篇 连接优化第三篇 索引优化第四片 查询优化第五篇 到实战中去 查询优化 查询优化涉及到用户查询数据时使用到 ...
- bind的例子
10.24 给定一个string,使用bind和check_size在一个int的vector中查找第一个大于string长度的值. #include<iostream> #include ...
- Android(java)学习笔记150:为什么局部内部类只能访问外部类中的 final型的常量
为什么匿名内部类参数必须为final类型: 1) 从程序设计语言的理论上:局部内部类(即:定义在方法中的内部类),由于本身就是在方法内部(可出现在形式参数定义处或者方法体处),因而访问方法中的局部变 ...
- 关于调用系统照相机Activity被销毁问题解决
<activity android:name=".visitplan_finish" android:co ...
- prepare a mysql docker server
@run server.. docker run --name some-mysql -e MYSQL_ROOT_PASSWORD=mysecretpassword -d mysql @applica ...