爲什麼ASP.NET比ASP Classic更安全？

Question

我讀過幾個ASP.NET比ASP Classic更安全的地方。但從來沒有看到任何實際的理由。

以標準登錄系統爲例。 用戶通過表單向服務器發送用戶名和密碼。這兩種語言都以相同的方式完成。而在這兩種語言中，剩下的都是在服務器上完成的。 爲什麼選擇ASP over ASP Classic？

Answer 1

正如ScottRFrost所述，Request Validation可防止XSS作爲默認設置。就我個人而言，我寧願將其關閉並開發一個應用程序以使用輸出sanitisation insead（例如HTML編碼輸出到網頁，或正確編碼和轉義JavaScript中使用的輸出）。此方法不限制用戶輸入，因此它不會像Request Validation那樣限制應用程序功能。例如它將允許將HTML輸入到將顯示在網頁上而不是由瀏覽器解釋的字段中（想象一個HTML開發人員論壇不允許發佈HTML）。如果你在ASP.NET中使用這個方法，你可以使用一種非常類似的方法來標準的ASP開發，以便輸出到頁面的變量。

爲了迴應您的觀點，在驗證（驗證用戶名/密碼組合）過程中，經典ASP和ASP.NET之間沒有太大區別。 ASP.NET提供了一些可以放入頁面的用戶控件，並且還提供了Membership Provider模型，但實質上你必須爲此實現邏輯。

ASP.NET也具有作爲標準包含的授權組件，因此可以限制對整個應用程序或web.config文件中設置的某些URL路徑的訪問。這防止開發人員忘記在每頁基礎上包含授權檢查。任何更細粒度的訪問檢查仍然需要在ASP.NET中手動處理。

ASP.NET還提供無法通過Web服務器讀取的專用文件夾，例如/ App_Data。這爲存儲不應通過HTTP直接讀取的應用程序相關文件提供了便利。您可以在傳統ASP中手動執行此操作，但您需要將此目錄存儲在Web根目錄之外，或者需要設置本地文件夾權限，以便IIS用戶無法讀取這些文件。總之，除了新手開發人員不太可能在ASP.NET中創建XSS易受攻擊的網站之外，我不會說ASP.NET本身比傳統ASP更安全。

Answer 2

ASP.NET默認包含一些功能，如Request Validation，這些功能限制了一些常見的腳本攻擊。你可以在傳統的ASP中自己做，但在.NET中它是默認的。

Answer 3

可能存在安全問題。但我擔心一件事。它關於SQL注入。 Asp.net提供了參數化查詢和HTML編碼解碼技術的功能。欲瞭解更多信息，請單擊鏈接ASP.net security