how to build a sample WCF Windows Store App using CTP3 and make it run using the .NET Native compiler
یکی از نکات امنیتی که استاندارد Owasp بررسی مینماید هدر X-Content-Type-Options است که جهت جلوگیری از حملات از طریق فایلهای نامرتبط میباشد. در این رخنه ممکن است فایلی که مرورگر دریافت میکند با آنچه که وب سایت ما آن را میشناسد متفاوت باشد. به عنوان مثال یک فایل اسکریپت که به عنوان یک فایل استایل معرفی میگردد ولی قابلیت اجرای کدهای آن در مرورگر امکان پذیر است؛ به این نوع حملات MIME Sniffing میگویند. در یکی از سایتهایی که در حال حاضر در حال توسعه آن هستیم بخشی از گزارشها با استفاده از ابزار FastReport ایجاد شده بود و با توجه به اینکه در این ابزار از فایلهای axd استفاده میگردید و مرورگر نوع دیتای برگشتی و MimeType معرفی شده را همخوان نمیدانست، از نمایش و بارگذاری آن ممانعت به عمل آورده و در نتیجه فایل گزارش دیده نمیشد. در این مقاله قصد داریم به معرفی این نوع حمله، روش جلوگیری از آن و همچنین رفع محدودیت پیش آمده را بررسی کرده تا در موارد مشابه از آن استفاده نماییم.
Mime Sniffing
زمانیکه مرورگر در هدر(پاسخ) Response، نوع محتوای ارسال شده، Content-Type را دریافت نکند، یا مرورگر متوجه مغایرتی در آن شود، این نوع رفتار را Mime Sniffing شناسایی میکند. نحوه این شناساییها در هر مرورگری میتواند متفاوت باشد؛ ولی عموما بر اساس type ارسالی و پسوند مورد نظر میباشد. در بعضی از موارد نیز خواندن بایتهای ابتدایی یک فایل نیز میتواند نشان دهد که محتوای ارسالی واقعا چیست. به عنوان مثال برای فایلهایی با پسوند Gif، الگوی بایتهای ابتدایی شامل 47 49 46 38 39 میباشد؛ ولی از آنجا که در همه فایلها، بایتهای ابتدایی الگوی یکسانی ندارند، پس نمیتوان به این روش نیز بسنده کرد.
روش اینکه به مروگر بگوییم جلوی این نوع حملات را بگیرد و در صورت شناسایی Sniffing از اجرای آن سر باز بزند، استفاده از هدر X-Content-Type-Options میباشد که نحوه افزودن آن در فایل web.config به شکل زیر است:
<httpProtocol>
<customHeaders>
...
<remove name="X-Content-Type-Options"/>
<add name="X-Content-Type-Options" value="nosniff" />
..
</customHeaders>
</httpProtocol> در پروژه ما به دلیل اینکه بخشی از گزارشها با استفاده از FastReport طراحی شده بود این مورد برای ما ایجاد مشکل میکرد و در گزارش نمایش داده نمیشد و در کنسول پیامهایی به شکل زیر دریافت میکردیم:
Refused to execute script from 'https://localhost:44377/WebResource.axd?d=xxx' because its MIME type ('text/js') is not executable, and strict MIME type checking is enabled. با نگاهی به Response دریافتی نیز میتوان بازگشت هدر امنیتی X-Content-Type-Options را نیز مشاهده نمود:
پس باید این هدر را برای بعضی از آدرسها که میتوانند دچار مشکلات اجرایی گردند حذف کرده و برای مابقی بخشها همچنان این هدر فعال باشد؛ پس با افزودن کد زیر به web.config، هدر مورد نظر را برای این نوع فایل حذف میکنیم:
<location path="WebResource.axd" >
<system.webServer>
<httpProtocol>
<customHeaders>
<remove name="X-Content-Type-Options" />
</customHeaders>
</httpProtocol>
</system.webServer>
</location> نتیجه آن را میتوانید در صفحه ذیل برای همان درخواست و پاسخ قبلی نیز مشاهده نمایید:
یکی از مشکلات برنامه نویسان، نوشتن هزاران رکورد در دیتابیس در مدت زمان بسیار کوتاهی است که عموما این کار در هنگام خواندن اطلاعات از فایلهای اکسل و گاها از فایلهای text ای اتفاق میافتد. برای مثال در زمان نوشتن این اطلاعات، با Timeout مواجه شده و اگر هم Timeout ندهد بسیار کند عمل میکند.
سپس این مدل را در Context خود معرفی نمایید همانند کلاس زیر:
برای ساختن دیتابیس در Entityframework CodeFirst میتوانید به سری آموزشی CodeFirst در سایت جاری مراجعه نمایید. اکنون همه چیز مهیا است برای انجام عملیات Bulk Insert .
بعد از نصب پکیج مورد نظر، باید لیستی از موجودیتها را از یک فایل اکسل خوانده و به BulkInsert EF ارسال نماییم. برای این کار مانند زیر عمل مینماییم.
تنها نکتهی استفاده از متد BulkInsert، اضافه نمودن ارجاعی از ;using EntityFramework.BulkInsert.Extensions به بالای کلاس جاری است.
در این پست قصد داریم روش نوشتن هزاران رکورد را در کسری از ثانیه توسط EF Code first مورد بررسی قرار دهیم و در نهایت مقایسه ای با AddRange در EntityFramework داشته باشیم.
خوب؛ در ابتدا مدلی را با نام Personel را به شکل زیر طراحی مینماییم .
public class Personel
{
[Key]
public int PersonelID { get; set; }
[MaxLength(15)]
public string Name { get; set; }
[MaxLength(25)]
public string Family { get; set; }
[MaxLength(10)]
public string CodeMelli { get; set; }
} public class PersonalContext : DbContext
{
public DbSet<Personel> Personel { get; set; }
public override int SaveChanges()
{
return base.SaveChanges();
}
} در ابتدا پاورشل نیوگت را باز کرده و پکیج مورد نظر را با توجه به نسخه Ef استفاده شده، به پروژه اضافه نمایید. همانند دستور زیر :
Install-Package EntityFramework.BulkInsert-ef6
public ActionResult Insert()
{
int Counter = 1000;
List<Personel> Lst = new List<Personel>();
// شبیه سازی خواندن رکوردها از فایل اکسل
for (int i = 0; i < Counter; i++)
{
Lst.Add(new Personel
{
CodeMelli = "0000000000",
Family = "Karimi",
Name = "Mohammad"
});
}
PersonalContext db = new PersonalContext();
db.BulkInsert(Lst);
db.SaveChanges();
return View();
} در شکل زیر میتوانید مقایسه ای بین bulkInsert و AddRange را در تعداد رکوردهای نوشته شده و مدت زمان صرف شده برای نوشتن در دیتابیس، مشاهده نمایید.
ممنونم از پاسختون
نکته : در صورتی که اگر نسخههای دیگری از SDK .NET core در سیستم از قبل نصب باشد دستور dotnet bundle یک خطای گمراه کننده برمیگرداند. من تمامی نسخههای کمتر از 3.1 SDK Core رو uninstall کردم و بدون هیچ مشکلی اجرا شد.
dotnet ef --startup-project ../TechnicalDiagnosis.WebApp/ migrations script | out-file ./script.sql
این دستور در power shall باعث تولید sql دیتابیس میشه. فقط چند خط اول پاک کنید و دستی یک دیتابیس ایجاد کنید و این sql روی اون اجرا کنید.
برنامه در حالت عادی و با دستور dotnet prog.dll بدرستی در سرور اجرا میشود ولی بعد از هاست شدن در IIS در فایل log خطای زیر صادر میشود:
... System.Data.SqlClient.SqlException (0x80131904): The SELECT permission was denied on the object ...
من پروژه identitySample شما رو دانلود کردم و خودم رو یه پروژه دیگه بازنویسی کردم. ولی مشکلی که پیش اومد اینه که زمانیکه dotnet ef migrations add InitialDatabase این دستور رو وارد میکنم، این خطا رو به من میده. مشکل از کجاست؟ باید چیکار کنم؟
مقاله جالب و خوبی بود فقط ذکر چند نکته خالی از لطف نیست.
protobuf در مرورگر پشتیبانی نمیشود و برای کار با آن میتوان از protobuf.js (پیاده سازی Protocol Buffers برای Javascript) استفاده کرد
برای استفاده از protobuf در دات نت نیز 2 کتابخانه موجود است
1- کتابخانه Google.Protobuf : که پیاده سازی و استفاده از آن شبیه نسخه اصلی protobuf است. (اطلاعات بیشتر)
2- کتابخانه protobuf-net : که پیاده سازی و استفاده از آن شبیه بقیه سریالایزرهای دات نتی بوده و بیشتر متمایل به سی شارپ است. (اطلاعات بیشتر)
به نظرم دومی بیشتر باب میل سی شارپیها باشد و نیز ساده تر. با دیدن مثال هر دو کتابخانه میتوانید بهتر متوجه این تفاوت شوید.
لینک زیر هم به مقایسه این دو کتابخانه پرداخته :
سلام من پروژه خودم رو طبق مطالبی که در بالا گفتید ساختم ولی موقع Build کردن پیام خطای زیر رو بهم نشون میده هرچی هم سرچ کردم نتونستم چیزی پیدا کنم میشه به من بگید که اشکال کار من کجاست
در ضمن من همه چیز و به طور کامل نصب کردم؛ مثل Typescript,node,Web,Web Essentials
Easily identify which C# dependencies can be removed from an MSBuild project, and expose MSVC output to show unused libraries and delay-load DLLs at link time. Removing project dependencies flattens your build dependency graph which can improve build parallelism and reduce end-to-end build time.
