使用ASP.NET
應用程序我使用自定義的HttpModule
這個HttpModule
攔截每個傳入的請求並檢查連接的用戶是否可以訪問請求的頁面,如果沒有將其重定向到Error頁面,則實現了頁面級別的訪問控制。HttpModule安全性是否足以保證asp.net應用程序的安全性?
- 是這種做法足以保證應用程序的安全性還是很容易地繞過它,
- 和你有什麼建議,以改善它?
在此先感謝。
使用ASP.NET
應用程序我使用自定義的HttpModule
這個HttpModule
攔截每個傳入的請求並檢查連接的用戶是否可以訪問請求的頁面,如果沒有將其重定向到Error頁面,則實現了頁面級別的訪問控制。HttpModule安全性是否足以保證asp.net應用程序的安全性?
在此先感謝。
只要標準庫中沒有任何東西可以用於你想要的東西,這應該沒問題,只要你已經充分測試了你的模塊。您無法繞過HttpModule而無法訪問服務器本身來修改web.config文件,並且如果攻擊者已經這樣做了,那麼這是您最擔心的問題!
如果標準庫中有某些東西可以使用,您應該更喜歡這一點,因爲它不可避免地會被其他人廣泛測試!
我建議你爲你的模塊寫一套體面的單元測試,因爲它會構成你的應用程序的主要防線!
是這種做法足以保證應用程序的安全性還是很容易地繞過它,
這是不夠好,以確保每一個用戶被授權調用的URL。
它確實沒有保護您免受形成SQL注入基礎的常見攻擊 - 不良參數驗證和文本到SQL atocieties。
目前我不同意這些wories到另一個步驟。現在我只專注於讓用戶訪問我不允許訪問的頁面 –
您使用的是什麼類型的身份驗證? – Matthew
我正在使用一個自定義的。 –