Neu bei ASP.NET MVC - Muss ich die Sicherheit neu lernen?

Question

Ich plane die Arbeit an einem neuen Projekt und bin nun versucht, ASP.NET MVC zu verwenden. Mein Projekt plant die Verwendung von JQuery und AJAX (obwohl auch Nicht-JS-Clients unterstützt werden). Da ich von einem Standard-ASP.NET-Hintergrund komme, versuche ich immer noch, mich mit dem MVC-Paradigma vertraut zu machen (mit großer Hilfe von Scott Guthrie ). Meine größte Sorge bei der Verwendung von MVC sind jedoch die Sicherheitsaspekte. Ich habe schon einiges an Sicherheit mit ASP.NET gemacht und weiß, wie man mit verschiedenen Angriffsvektoren umgeht. Muss ich die Sicherheit mit ASP.NET MVC neu erlernen? Gibt es neue Bedrohungen oder sogar neue Methoden zum Umgang mit alten Bedrohungen, über die ich mich informieren muss? Ich habe mir einige ASP.NET MVC-Bücher bestellt (die Kapitel über Sicherheit enthalten), aber ich würde gerne wissen, welche Erfahrungen jemand anderes damit gemacht hat.

感謝

Answer 1

Das hängt davon ab, was Sie unter Sicherheit verstehen.

Die Autorisierung ist im Grunde dasselbe, wenn nicht sogar einfacher. Forms Authentication wird unterstützt und gefördert, und Sie müssen nur ein [Authorize] Attribut bei Controllern oder Controller-Aktionen. Da gibt es nicht allzu viel zu lernen.

ViewState gibt es nicht mehr, Sie müssen sich also nicht mehr um die ViewState-Validierung oder anderen Schnickschnack kümmern.

Wenn Sie sich auf XSS beziehen, würde ich sagen, dass es ungefähr dasselbe ist; Sie müssen Ihre Daten auf der Ausgabe entkommen und es ist sehr einfach zu tun:

<%= Html.Encode(Model.SomeString) %>

Das Einzige, was ich mir vorstellen kann, ist der Umgang mit CSRF/XSRF, der ein wenig anders sein könnte. Glücklicherweise ist das meiste davon bereits in den Rahmen eingebaut .

Im Großen und Ganzen würde ich also sagen, dass die Lernkurve für die Sicherheit in ASP.NET MVC nicht annähernd so steil sein sollte wie die Lernkurve für die Architektur selbst.