IIS会按文件地址及参数将文件缓存到客户端,以便再次访问该内容时速度更快.如果要取消这种机制则需要禁止缓存文件. 一.编程方式 Response.Buffer = true; Response.ExpiresAbsolute = DateTime.Now.AddDays(-1); Response.Cache.SetExpires(DateTime.Now.AddDays(-1)); Response.Expires = 0; Response.CacheControl = "no-cache&…

本文先为大家介绍如何利用缓存Cache方便地实现此功能. Cache与Session这二个状态对像的其中有一个不同之处,Cache是一个全局对象,作用的范围是整个应用程序,所有用户:而Session是一个用户会话对象,是局部对象,用于保存单个用户的信息. 只要把每次用户登录后的用户信息存储在Cache中,把Cache的Key名设为用户的登录名,Cache的过期时间设置为Session的超时时间,在用户每次登录的时候去判断一下Cache[用户名]是否有值,如果没有值,证明该用户没有登录,否则该用户…

两个站点: a.sample.com b.sample.com a.sample.com 站点中的一段示例 JS 代码: var iframe = document.createElement("iframe"); iframe.id = "frame"; iframe.src="http://b.sample.com/index.html"; iframe.onload = function() { var domdoc = iframe.co…

CORS 全称"跨域资源共享"(Cross-origin resource sharing). 跨域就是不同域之间进行数据访问,比如 a.sample.com 访问 b.sample.com 中的数据,我们如果不做任何处理的话,就会出现下面的错误: XMLHttpRequest cannot load b.sample.com. No 'Access-Control-Allow-Origin' header is present on the requested resource. O…

为什么使用验证控件 当需要让用户输入数据时,用户有可能输入不符合我们程序逻辑要求的信息,所以我们要对输入进行验证. 客户端验证(用户体验,减少服务器端压力) 服务器端验证(防止恶意攻击,客户端js很容易就可以被绕过) 必须要对用户输入的数据进行合法性校验,这些校验逻辑很多是重复的,比如字段不能为空.必须为日期格式.数字不能大于100等,而且要同时在客户端和服务器端校验. 验证控件 ASP.Net提供了如下的控件: RequiredFieldValidator:字段必填: RangeValidat…

危害级别:轻微 IIS短文件名泄露漏洞 WASC Threat Classification 描述: Microsoft IIS在实现上存在文件枚举漏洞,攻击者可利用此漏洞枚举网络服务器根目录中的文件. 1.Internet Information Services(IIS,互联网信息服务)是由微软公司提供的基于运行Microsoft Windows的互联网基本服务. Microsoft IIS在实现上存在文件枚举漏洞,攻击者可利用此漏洞枚举网络服务器根目录中的文件. 危害: 攻击者可以利用“~…

安装IIS.部署网站(发布或者拷贝都可以).修改连接字符串,compilation设为false,删掉cs代码 上传文件夹不给执行权限: 在iis管理器中找到上传文件夹,选择属性--执行权限,设置为“无” 这样哪 利用漏洞上传了可执行代码到上传文件夹,也无法执行 取消所有文件夹的浏览权限,防止用户查看网站的文件列表,在iis管理器中找到主站节点→属性→主目录→取消“目录浏览”后台文件夹只允许管理员的IP访问,文件夹→属性→ IIS管理中,Web服务器扩展,只允许asp.net那几个,其他的 CG…

添加全局应用程序类. <%@ Application Language="C#" %> <script runat="server"> //整个网站第一次被访问的时候调用 void Application_Start(object sender, EventArgs e) { //在应用程序启动时运行的代码 Application.Lock(); Application["web"] = "welcome&quo…

接口return Json()时序列号小写的问题 在Startup.cs->ConfigureServices方法配置一下解决 public void ConfigureServices(IServiceCollection services) { // Add framework services. services.AddMvc() .AddJsonOptions(op => op.SerializerSettings.ContractResolver = new Newtonsoft.J…

安装IIS.部署网站(发布或者拷贝都可以).修改连接字符串,compilation设为false,删掉cs代码上传文件夹不给执行权限: 在iis管理器中找到上传文件夹,选择属性--执行权限,设置为“无”.这样哪怕利用漏洞上传了可执行代码到上传文件夹,也无法执行.取消所有文件夹的浏览权限,防止用户查看网站的文件列表,在iis管理器中找到主站节点→属性→主目录→取消“目录浏览”.IIS管理中,Web服务器扩展,只允许asp.net那几个,其他的CGI.ASP等全部禁止. ->对于State Serv…

攻击方法(转自http://blog.sina.com.cn/s/blog_64a3795a01017xqt.html) 一直在寻找一种方法,如果我可以使用通配符"*" 和 "?"发送一个请求到iis,我意识到当IIS接收到一个文件路径中包含"~"的请求时,它的反应是不同的.基于这个特点,我们可以根据http的响应区分一个可用或者不可用的文件.在以下的表中,文件validxxx.xxx是存在于网站服务器根目录的.(备注:xxx.xxx是指不确定,…

漏洞的成因与分析: 1)利用“~”字符猜解暴露短文件/文件夹名. 2).Net Framework的拒绝服务攻击. 现在看大部分的分析讨论都是第一个的.第二个比较少.这里简单复述一下其他研究人员的分析. 1)利用“~”字符猜解暴露短文件/文件夹名 Windows 还以 8.3 格式生成与 MS-DOS 兼容的(短)文件名,以允许基于 MS-DOS 或 16 位 Windows的程序访问这些文件.在cmd下输入“dir /x”即可看到短文件名的效果. Soroush Dalili的说法是,通配符”…

自动完成功能,只需把AUTOCOMPLETE设为off即可,如: 整个表单禁止自动完成 HTML code <FORM method=post action="submit.asp" AUTOCOMPLETE="OFF"> 禁止文本框自动完成 HTML code <input type="text" name="creditcard" maxlength="16" AUTOCOMPLETE…

    常规WEB渗透测试漏洞描述及修复 --转自:http://www.51testing.com/html/92/n-3723692.html (1). Apache样例文件泄漏 漏洞描述 apache一些样例文件没有删除,可能存在cookie.session伪造,进行后台登录操作 修复建议 1.删除样例文件 2.对apache中web.xml进行相关设置 (2)弱口令 漏洞描述 由于系统中存在有弱口令,导致攻击者通过弱口令可轻松登录系统中,从而进行下一步的攻击,如上传webshell,获取…

转载地址:https://security.pingan.com/blog/17.html SQL注入 在服务器端要对所有的输入数据验证有效性. 在处理输入之前,验证所有客户端提供的数据,包括所有的参数.URL和HTTP头的内容. 验证输入数据的类型.长度和合法的取值范围. 使用白名单验证允许的输入字符而不是黑名单. 在危险字符输入后进行转义或编码. 明确所有输入正确的字符集. 不使用动态拼接的SQL语句,如果使用对特殊字符进行转义. 设置最小权限运行程序 OS命令注入 不仅要在客户端过滤,也要…

早上服务器的系统突然出错了,悲剧~ ==============异常信息:============================== 服务器上出现应用程序错误.此应用程序的当前自定义错误设置禁止远程查看应用程序 说明: 服务器上出现应用程序错误.此应用程序的当前自定义错误设置禁止查看应用程序错误的详细信息. 详细信息: 若要使他人能够从本地服务器计算机上查看此特定错误信息的详细信息,请在位于当前 Web 应用程序根目录下的“web.config”配置文件中创建一个 <customErrors>…

过ASP禁止指定IP和只允许指定IP访问网站的代码,需要的朋友可以参考下. 一.禁止指定IP防问网站,并执行相应操作: 代码如下: <% Dim IP,IPString,VisitIP '设置IP地址,用“|”隔开 IPString="|192.168.0.42|192.168.0.43|" '获取IP地址 IP = Request.ServerVariables("HTTP_X_FORWARDED_FOR") If IP = "" The…

工欲善其事,必先利其器 在asp.net开发的网页中,有时候需要禁止用户粘贴复制密码,禁止用户copy文章直接粘贴到文本框中.采取的方法是直接在限制控件的地方写上禁止粘贴文本的代码.但是这样不是很方便,假如一个页面中有5个textbox的控件,这时候必须单独对每一个控件都写上禁止复制.粘贴的代码,导致工作量很大.那下面来看看具体操作. 第一步,新建一个空的webform页面. 第二步,在webform中添加几个textbox控件. 第三步,在body标签中加入 oncut="return fal…

asp.net mvc Route 使用自定义条件(constraints)禁止某ip登陆 前言 本文的目的是利用Mvc route创建一个自定义约束来控制路由跳转实现禁止ip登陆,当然例子可能不合理,但是文章要表明的意思是当普通的路由约束不能解决我们实际的需求时,我们可以通过自定义路由限制条件实现,比如当匹配路由有数据库交互,根据url跳转等实际需求时,使用自定义条件此问题便可迎刃而解. 实现 举例普通的路由约束: routes.MapRoute( "Product", "…

根据默认的ASP.NET配置,App_Data下的资源是禁止通过Url形式直接访问的,在实际开发中,可能也会有这样的需求,比如某些是系统资源目录,该目录下的资源也需要像App_Data目录一样禁止访问 下面通过例子说明,首先由一个ASP.NET Web应用程序,App_Data目录下有一个1.txt文件 当通过Url想直接访问该资源时 上图中,蓝色的“View more information”是一个链接,点击可以查看帮助页,帮助页中的解决方案如下: (由于本人使用的是Visual Studio…

Win7中的IIS配置asp时出现"出现403 文件夹禁止訪问错误"! 在[默认文档]中设一下启动文件即可了.…

我们可以通过如下的两种办法,禁止用户通过浏览器的URL地址直接访问网站服务器的文件夹. 一.通过类和配置文件限制 ①NET C#代码 新建一个类,继承IHttpHandler using System; using System.Data; using System.Configuration; using System.Linq; using System.Web; using System.Web.Security; using System.Web.UI; using System.Web…

html:<meta http-equiv="pragma" content="no-cache"><meta http-equiv="cache-control" content="no-cache, must-revalidate"><meta http-equiv="expires" content="wed, 26 feb 1997 08:21:57 gmt&…

1.权限控制使用controller和 action来实现,权限方式有很多种,最近开发项目使用控制控制器方式实现代码如下 /// <summary> /// 用户权限控制 /// </summary> public class UserAuthorize : AuthorizeAttribute { /// <summary> /// 授权失败时呈现的视图 /// </summary> public string AuthorizationFailView…

网站上的一些文件不希望用户访问,可以通过下面的方式简单实现.不需写代码(在IIS6下试验过). 第一步,在IIS中实现映射. 哪些文件需要特殊处理. 通俗的将就是将哪种类型的文件交给特定的工厂来处理.通过这种方式可以实现自定义的请求方式. 请求到达IIS,然后IIS将请求交给我们设定的工厂处理. 对于aspx文件,默认是aspnet_isapi.dll由来处理的. 假如我们不希望用户通过浏览器直接看到网站上的xml文件,直接返回404. 首先需要在IIS中添加新的映射,将xml文件交由aspne…

技术要点: Application 全局变量的使用 hashtable 的使用 Session 对应唯一sessionID 标志会话状态 webpage 继承 BasePage的技术 整体比较简单,主要是思想 private void SetOnlineInfo(HttpContext context, string username) { Hashtable hOnline = (Hashtable)context.Application["Online"];//读取全局变量 if…

//只在输入框禁止输入回车 if(event.keyCode==13&&event.srcElement.type=="textarea")    {          event.returnValue=true;    }    else    {          event.returnValue=false;    } //禁止输入enter; 防止输入时enter 提交document.onkeydown = function () {           …

只需要Web.Config里面添加: <system.web> <webServices> <protocols> <remove name="HttpGet"/> <remove name="HttpPost"/> <remove name="HttpPostLocalhost"/> </protocols> </webServices> 一般情况下…

为model添加[DisplayFormat(ConvertEmptyStringToNull = false)] [Display(ResourceType = typeof(AppStrings), Name = "MD_Company_ContactPhone")] [StringLength(100, ErrorMessageResourceType = typeof(AppStrings), ErrorMessageResourceName = "Validatio…

DeveloperExceptionPageMiddleware中间件利用呈现出来的错误页面实现抛出异常和当前请求的详细信息以辅助开发人员更好地进行纠错诊断工作,而ExceptionHandlerMiddleware中间件则是面向最终用户的,我们可以利用它来显示一个友好的定制化的错误页面.按照惯例,我们还是先来看看ExceptionHandlerMiddleware的类型定义. [本文已经同步到<ASP.NET Core框架揭秘>之中] 1: public class ExceptionHan…