Top Newsletters for ASP.NET Developers
These are the customer-reported issues addressed in 15.7.1:
- This release includes a fix that reduces memory usage and GC pressure during solution load.
Microsoft Security Advisory for .NET Core Denial Of Service Vulnerability
CVE-2018-0765
Microsoft is releasing this security advisory to provide information about a vulnerability in .NET Core and .NET native version 2.0. This advisory also provides guidance on what developers can do to update their applications to remove this vulnerability.
Microsoft is aware of a denial of service vulnerability that exists when .NET Framework and .NET Core improperly process XML documents. An attacker who successfully exploited this vulnerability could cause a denial of service against a .NET Framework, .NET Core, or .NET native application.
The update addresses the vulnerability by correcting how .NET Framework, .NET Core, and .NET native applications handle XML document processing.
If your application is an ASP.NET Core application, developers are also advised to update to ASP.NET Core 2.0.8.
در نگارشهای قبلی ASP.NET Web forms اگر نیاز به ارسال محتوای HTML ایی وجود داشت، میبایستی کل سیستم اعتبارسنجی حداقل یک صفحه را غیرفعال کرد. برای مثال:
این نقیصهی همه یا هیچ، در ASP.NET MVC وجود ندارد و میتوان به ازای یک خاصیت خاص، اعتبارسنجی پیش فرض را با اعمال ویژگی AllowHtml موقتا غیرفعال کرد؛ اما مابقی فیلدها و خاصیتهای فرم همچنان تحت نظر سیستم اعتبارسنجیهای ورودی ASP.NET قرار خواهند داشت و به این ترتیب امکان ورود اطلاعات خطرناک، خصوصا از لحاظ مباحث XSS، حداقل در آن فیلدها وجود نخواهد داشت.
در ASP.NET 4.5 مفهوم جدیدی به نام Deferred validation معرفی شدهاست تا رفتار Web forms را نیز در برابر ورودیهای ارسال شده همانند ASP.NET MVC کند. به این معنا که اگر جهت دسترسی به مقدار کوئری استرینگ lastName همانند قبل عمل کنید:
و کاربر ورودی خطرناکی را وارد کرده باشد، همچنان استثنای A potentially dangerous request.form value was detected صادر میشود.
اما اگر در ASP.NET 4.5، کوئری استرینگ را به نحو ذیل دریافت کنید:
به صورت خودکار سیستم اعتبارسنجی غیرفعال شده و امکان دسترسی به محتوای اصلی کوئری استرینگ lastName را خواهید داشت. به این ترتیب دیگر نیازی نخواهید داشت تا اعتبارسنجی کل صفحه را برای دسترسی به یک مقدار خاص غیرفعال نمائید.
برای دسترسی به مقادیر اعتبارسنجی نشده فیلدهای یک فرم ارسالی نیز میتوان به صورت ذیل عمل کرد:
کلاس Request.Unvalidated شامل خاصیتهای Cookies، Files، Headers و امثال آن نیز میباشد.
در اینجا اگر دقت کرده باشید از UniqueID بجای Id استفاده شدهاست؛ از این جهت که مجموعه Form، حاوی Idهای واقعی دریافت شده از کاربر مانند ctl00$MainContent$MessageText میباشد.
روش دوم، استفاده از خاصیت جدید ValidateRequestMode یک کنترل سمت سرور است و در اینجا نیز میتوان صرفا اعتبارسنجی یک کنترل را بجای کل صفحه، غیرفعال کرد:
تنظیم خاصیت ذکر شده برای کنترلهای سمت سرور ضروری است. از این جهت که در حین تشکیل ViewState از محتوای این کنترلها نیز استفاده میشود. اینجا است که اگر ValidateRequestMode غیرفعال نشده باشد، باز همان خطای ورودی خطرناک را دریافت خواهید کرد.
البته برای فعال سازی اعتبارسنجی با تاخیر نیاز است اصلاح ذیل را نیز به web.config برنامه اعمال کنید (مقدار پیش فرض آن 4 است):
<%@ Page Language="C#" ValidateRequest="false" %>
در ASP.NET 4.5 مفهوم جدیدی به نام Deferred validation معرفی شدهاست تا رفتار Web forms را نیز در برابر ورودیهای ارسال شده همانند ASP.NET MVC کند. به این معنا که اگر جهت دسترسی به مقدار کوئری استرینگ lastName همانند قبل عمل کنید:
Request["lastName"]
اما اگر در ASP.NET 4.5، کوئری استرینگ را به نحو ذیل دریافت کنید:
Request.Unvalidated.QueryString["lastName"]
برای دسترسی به مقادیر اعتبارسنجی نشده فیلدهای یک فرم ارسالی نیز میتوان به صورت ذیل عمل کرد:
Request.Unvalidated.Form[txtData1.UniqueID]
در اینجا اگر دقت کرده باشید از UniqueID بجای Id استفاده شدهاست؛ از این جهت که مجموعه Form، حاوی Idهای واقعی دریافت شده از کاربر مانند ctl00$MainContent$MessageText میباشد.
روش دوم، استفاده از خاصیت جدید ValidateRequestMode یک کنترل سمت سرور است و در اینجا نیز میتوان صرفا اعتبارسنجی یک کنترل را بجای کل صفحه، غیرفعال کرد:
<asp:TextBox ID="txtASPNet" ValidateRequestMode="Disabled" runat="server" />
البته برای فعال سازی اعتبارسنجی با تاخیر نیاز است اصلاح ذیل را نیز به web.config برنامه اعمال کنید (مقدار پیش فرض آن 4 است):
<httpRuntime targetFramework="4.5" requestValidationMode="4.5" />
AspNetCoreRateLimit is an ASP.NET Core rate limiting solution designed to control the rate of requests that clients can make to a Web API or MVC app based on IP address or client ID. The AspNetCoreRateLimit package contains an IpRateLimitMiddleware and a ClientRateLimitMiddleware, with each middleware you can set multiple limits for different scenarios like allowing an IP or Client to make a maximum number of calls in a time interval like per second, 15 minutes, etc. You can define these limits to address all requests made to an API or you can scope the limits to each API URL or HTTP verb and path.
Using Facebook authentication in ASP.NET MVC
Using GitHub authentication in ASP.NET MVC
Using Google+ authentication in ASP.NET MVC
Using LinkedIn authentication in ASP.NET MVC
Using Microsoft Live authentication in ASP.NET MVC
Using SalesForce authentication in ASP.NET MVC
Using Stack Exchange authentication in ASP.NET MVC
Using Twitter authentication in ASP.NET MVC
Using Yahoo authentication in ASP.NET MVC
Using Steam authentication in ASP.NET MVC
Using OpenID authentication in ASP.NET MVC
منظور این بود که اگر فایل متنی JSON مرتبط را در نوتپد (و امثال آن و یا با برنامه نویسی) باز کردید و تغییر دادید (ذخیره کردید، تاریخ Last modified آن را تغییر دادید)، بلافاصله تغییرات آن در برنامه منعکس میشوند؛ چون یک file watcher برای تغییرات آن فایل در پشت صحنه فعال است. مانند file watcher فایل معروف web.config در برنامههای ASP.NET که آن هم یک کانفیگ است البته از نوع XML و اگر تغییری در آن داده شود، کل برنامه را ریاستارت میکند. اما در اینجا برنامه با تغییرات فایل JSON کانفیگ آن ریاستارت نخواهد شد. فقط «یک نکته: بارگذاری مجدد اطلاعات فایل config در ASP.NET Core 1.1» قابل استفاده خواهد بود.
ایجاد رابط کاربری هم برای آن مسالهای است شخصی که در نهایت شامل deserialization و تبدیل آن به شیء و تغییر آن در برنامه و در آخر serialization این شیء و بازگشت به حالت JSON آن است. عموما از کتابخانهی JSON.NET برای انجام اینکار استفاده میکنند.
یک نکتهی تکمیلی: سادهتر شدن به روز رسانی برنامهها در ASP.NET Core 6x
تا پیش از دات نت 6، فایلهای باینری برنامههای ASP.NET Core توسط IIS قفل میشوند و امکان جایگزینی آنها بدون متوقف کردن برنامه، میسر نیست. برای رفع این مشکل، پشتیبانی از shadow copy به ASP.NET Core Module for IIS جدید، اضافه شده که روش فعالسازی آن با انجام تغییراتی در Web.Config به صورت زیر است:
<?xml version="1.0" encoding="utf-8"?>
<configuration>
<!-- To customize the asp.net core module uncomment and edit the following section.
For more info see https://go.microsoft.com/fwlink/?linkid=838655 -->
<system.webServer>
<handlers>
<remove name="aspNetCore"/>
<add name="aspNetCore" path="*" verb="*" modules="AspNetCoreModulev2" resourceType="Unspecified"/>
</handlers>
<aspNetCore processPath="%LAUNCHER_PATH%" arguments="%LAUNCHER_ARGS%" stdoutLogEnabled="false" stdoutLogFile=".\logs\stdout">
<handlerSettings>
<handlerSetting name="experimentalEnableShadowCopy" value="true" />
<handlerSetting name="shadowCopyDirectory" value="../ShadowCopyDirectory/" />
<!-- Only enable handler logging if you encounter issues-->
<!--<handlerSetting name="debugFile" value=".\logs\aspnetcore-debug.log" />-->
<!--<handlerSetting name="debugLevel" value="FILE,TRACE" />-->
</handlerSettings>
</aspNetCore>
</system.webServer>
</configuration> We're in the middle of migrating one of our biggest apps (5000+ servers) to .net core. In yellow is CPU usage for .net framework + asp.net. In green is .net core 3.1 + aspnetcore. We've migrated other apps but it's the first time we see such a dramatic improvement
Today we’re very happy to announce that the second preview of the next minor release of ASP.NET Core and .NET Core is now available for you to try out. This second preview includes many refinements based on feedback we received from the first preview we released back in February.
Now that you can run your .NET Core apps on GCP in a supported fashion, the question becomes what’s the best way to get your apps there? In a nutshell, there are four basic methods for deploying an ASP.NET Core app to GCP, depending on your target environment:
