با توجه به اینکه پروتکل اول برنامههای بلادرنگ WebSocket هست و منطقا در این پروتکل امکان ارسال هدرهای HTTP وجود ندارد ، SignalR به عنوان fallback به سایر پروتکلها مثل لانگ پولینگ سوئیچ خواهد کرد ضمن اینکه دو خطای آزار دهنده همواره در کنسول مرورگر وجود خواهد داشت . یا اگر کاربر صفحه مرورگر خود را رفرش کند به صفحه لاگین ریدایرکت خواهد شد . برای حل این مشکل بنظر میرسد باید JWT در یک کوکی ذخیره شده و آن کوکی را مثل قبل در هر درخواست باز ارسال کرد . آیا چنین کاری درست است؟ در صورت تایید لطفا راهنمایی بفرمایید.
ممنون؛ ما چند دامین داریم که مربوط به شرکتهای مختلفه و همه اینها به یک اپلیکیشن وبی ارجاع داده میشوند منتها به خاطر اینکه ممکنه تعداد شرکتها و اینکه هر شرکت صفحات اختصاصی و بالطبع روتینگهای خاص خودش رو داشته باشه، بهتره که فقط روتینگهای اون شرکت لود بشوند.
چیزی که شما میفرمایید کاملا درسته و روتینگ یکبار در application_start(این رویداد فقط یکبار در استارت کل پروژه اجرا میشود) لود میشه ولی برای این مورد که عرض کردم جوابگو نیست ، چون قراره که هر کاربر با واردشدنش به سایت، ابتدا تشخیص داده بشه برای کدام شرکته و در مرحله بعد روتینگهای مختص خودش لود بشوند.
برای این مورد مثلا میتونیم از Session_Start استفاده کنیم. و همونطور که خودتون هم میدونید متغیرهای استاتیک در کل پروژه ثابت هستند. بنابراین با دستکاری کردن لیست روتینگهای شرکت 1 ، روتینگهای شرکت 2 هم دستکاری میشه. یعنی کاربر شرکت 1 که در حال کار است با وارد شدن کاربر 2 که از شرکت 2 است، باعث عوض شدن لیست روتینگهای شرکت 1 میشه و این مشکل ایجاد میکنه.
من تو سورس برنامه این متد رو
رو به صورت زیر تغییر دادم
ولی هنگامی که فایل رو به Srt تبدیل میکنه زیرنویس دارای کلمات ناخوانا میشه
public string GetTranscriptsUrl()
{
var courseName = getCourseName();
return $"http://app.pluralsight.com/data/course/transcript/{courseName}/en";
} public string GetTranscriptsUrl()
{
var courseName = getCourseName();
return $"http://app.pluralsight.com/data/course/transcript/{courseName}/fa";
} 
برای پروژههای .net هم استفاده میشه؟
ابزاری هست که فارسی رو هم پشتیبانی کنه؟
یک نکتهی تکمیلی: اضافه کردن فایلهای Sitemap.xml و Robots.txt به یک پروژهی انگیولار
دو فایل Sitemap.xml و Robots.txt را ایجاد کرده و در پوشه /src در کنار favicon.ico قرار میدهیم
├── src │ ├── sitemap.xml │ ├── favicon.ico │ ├── robots.txt
"assets": [ "src/assets", "src/sitemap.xml", "src/robots.txt", "src/favicon.ico" ],
www.example.com/sitemap.xml www.example.com/robots.txt
سلام
من از سیستم معمولی وب فرم برای تشخیص هویت در mvc 4 استفاده کردم. اما به یه مشکل جالب برخوردم.
اپلیکیشین وب من روی شبکه داخلی کار میکنه و هر کس با نام کاربری خودش وارد میشه و کار میکنه.
بعد از لوگین ریدایرکت میکنم و در صفحه مقصد در هنگام User.Identity.IsAuthenticated همیشه false برمیگردونه و نمیتونم وارد شم. با هیچکدوم از مرورگرها وارد نمیشه ولی با فایرفاکس میتونم وارد شم!
من بدین صورت کد لوگین رو نوشتم:
if (Membership.ValidateUser(UserName, Password))
{
FormsAuthentication.RedirectFromLoginPage(UserName, true);
return true;
}
دوستان نظرشون چیه؟ مشکل از چی میتونه باشه؟ فایرفاکس چه خاصیتی داره که میتونه لوگین کنه؟ اما با IE و Chrome و safari امتحان کردم نشد.
در وب کانفیگ هم اینجوری تنظیم کردم
<authentication mode="Forms" >
<forms loginUrl="~/Account/Login"
protection="All"
timeout="30"
name="myAppCookie"
path="/"
requireSSL="false"
slidingExpiration="true"
cookieless="UseCookies"
enableCrossAppRedirects="false" />
</authentication>
<membership >
<providers>
<clear />
<add name="AspNetSqlMembershipProvider" type="System.Web.Security.SqlMembershipProvider"
connectionStringName="ApplicationServices" enablePasswordRetrieval="false"
enablePasswordReset="true" requiresQuestionAndAnswer="false"
requiresUniqueEmail="false" maxInvalidPasswordAttempts="5" minRequiredPasswordLength="6"
minRequiredNonalphanumericCharacters="0" passwordAttemptWindow="10" applicationName="myApp " />
</providers>
</membership>
<profile>
<providers>
<clear />
<add name="AspNetSqlProfileProvider" type="System.Web.Profile.SqlProfileProvider"
connectionStringName="ApplicationServices" applicationName="myApp " />
</providers>
</profile>
<roleManager enabled="true">
<providers>
<clear />
<add name="AspNetSqlRoleProvider" type="System.Web.Security.SqlRoleProvider"
connectionStringName="ApplicationServices" applicationName="myApp "/>
<add name="AspNetWindowsTokenRoleProvider"
type="System.Web.Security.WindowsTokenRoleProvider" applicationName="myApp " />
</providers>
</roleManager>
طی مقاله چک لیست تولید برنامه Asp.net mvc و بررسی امنیتی ایجکس هنگام استفاده در مورد چک لیست امنیتی
سایت سرفصلهای مهم عنوان و بررسی شده است که یکی از موارد، مقاوم ساختن وب اپلیکشن در برابر حملات CSRF میباشد. اینگونه حملات بر پایه این استراتژی شکل میگیرند که با
ارسال درخواستی به نیابت از سمت سیستم/مرورگر کاربر تایید هویت شده، سایت مقصد را مجبور
به انجام عملی کند. برای مثال اگر شما در سایت a.com یک
کاربر تایید شده باشید و هم اکنون در سایت فوق نیز لاگین باشید، مهاجم با ارسال یک برنامه/صفحه یا موارد مشابه و در قالب src یک
عکس یا با ترغیب شما با کلیک بر روی یک لینک با href آلوده یا موارد
مشابه، از سمت مرورگر شما درخواستی را به سمت سایت a.com ارسال میکند .
این درخواست ممکن است شامل حذف اطلاعات، تغییر مشخصات، پرداخت هزینه یا موارد مشابه باشد. جهت مقابله با این حمله، یکی از موارد مهم، استفاده همیشگی از Html.AntiForgeryToken() در تمامی فرمهای ورود اطلاعات است. همچنین استفاده همیشگی از متد Post و بررسی تایید مبدا درخواستهای ایجکسی، بررسی http referrer ، محدود کردن طول عمر کوکی، استفاده از کپچهای قوی مانند کپچای گوگل میتواند تا حد زیادی وب اپلیکیشن را در مورد اینگونه حملات، مصون کند.
در این بین یکی از موارد دیگر، اضافه کردن AntiForgeryToken به درخواستهای ایجکسی سایت میباشد. جهت حصول این منظور، راههای مختلفی موجود است. یکی از راه حلها استفاده از یک هلپر جهت تولید توکن مورد نظر است.
ساختار
هلپر مورد نظر به شرح زیر است :
public static class AntiForgeryToken
{
public static MvcHtmlString AntiForgeryTokenForAjaxPost(this HtmlHelper helper)
{
var antiForgeryInputTag = helper.AntiForgeryToken().ToString();
// Above gets the following: <input name="__RequestVerificationToken" type="hidden" value="some value" />
var removedStart = antiForgeryInputTag.Replace(@"<input name=""__RequestVerificationToken"" type=""hidden"" value=""", "");
var tokenValue = removedStart.Replace(@""" />", "");
if (antiForgeryInputTag == removedStart || removedStart == tokenValue)
throw new InvalidOperationException("Oops! The Html.AntiForgeryToken() method seems to return something I did not expect.");
return new MvcHtmlString($@"{"__RequestVerificationToken"}:""{tokenValue}""");
}
} در مرحله بعد طبق الگوی زیر، درخواست ایجکسی به همراه توکن تولید شده و به کنترلر ارسال خواهد شد:
function AddToCart(pid) {
$.ajax({
url: '@Url.Action("AddToBasket","Shop")',
data: { 'pid': pid,@Html.AntiForgeryTokenForAjaxPost() },
type: 'post',
success:function(e) {
//do something
}
});
} در مرحله آخر، باید کنترلر مورد نظر شامل ویژگیهای [HttpPost] [ValidateAntiForgeryToken] باشد تا صحت توکن تولیدی را بررسی کند و در صورت نامعتبر بودن، از اجرای دستورات جلوگیری گردد.
DOM در حالت عادی بسیار نامرتب است. همچنین با افزودن کلاسهای CSS، کد HTML به مراتب نامرتبتر از قبل میشود. بوت استرپ نیز شامل تعداد زیادی از کلاسهای CSS میباشد که برای انجام وظایف خاصی به HTML اضافه میشوند.
روش متداول استفاده از بوتاسترپ
Embedd کردن کلاسهای CSS بوتاسترپ به صورت مستقیم درون HTML
اغلب فریمورکها، از لحاظ معنایی یا semantic، دارای مشکل هستند. اگر به سورس HTML صفحاتی که با این نوع از فریمورکها ساخته شده باشند نگاهی بیندازید با حجم زیادی از کلاسهایی مانند <"div class="row> و یا <"div class="col-sm> مواجه خواهید شد. نوشتن کدهای HTML به این صورت از لحاظ معنایی اشتباه است. مثلاً اگر بنا به دلایلی سازندگان بوت استرپ تصمیم بگیرند نام کلاسهای را در نسخه بعدی این فریمورک تغییر دهند (مانند تغییر نام کلاسها در نسخهی 3 بوت استرپ)، و یا اگر در آینده بخواهید از یک فریمورک دیگر در سایتتان استفاده کنید. باید این تغییرات را در تمام صفحات سایتتان اعمال کنید؛ در نتیجه اینکار زمان زیادی را از شما صرف میکند.
راهحل؟
استفاده از CSS preprocessors
بوتاسترپ، از Less برای اینکار استفاده میکند. Less در واقع یک CSS preprocessor نوشته شده با جاوا اسکریپت است که قابلیت اجرا در مرورگر را دارد. Less امکانات زیادی، از قبیل استفاده از توابع، متغیرها، Mixins و ... را در اختیار شما قرار میدهد. در واقع هدف از Less، نگهداری آسان و قابلیت توسعه فایلهای CSS میباشد. در این حالت شما کدهای CSS خود را درون فایلهایی با پسوند Less مینویسید. در این حالت بجای پیوست کردن کلاسهای بوتاسترپ در کد HTML، آن را درون استایلشیت پیوست خواهید کرد. همانطور که عنوان شد، بوتاسترپ با Less نوشته شده است. فایلهای Less بوتاسترپ را میتوانید از مخرن کد گیتهاب آن دانلود نمائید یا اینکه از طریق نیوگت میتوانید آن را نصب کنید:
PM> Install-Package Twitter.Bootstrap.Less
کار با Less خیلی ساده است. به عنوان مثال در کد زیر یک کلاس با نام loud داریم که استایلهایی را به آن اعمال کردهایم. اکنون جهت استفاده مجدد از این استایلها برای کلاسی دیگر، نیاز به نوشتن مجدد آن نیست. کافی همانند یک تابع در هر کلاسی آن را فراخوانی کنیم:
.loud {
color: red;
}
// Make all H1 elements loud
h1 {
.loud;
} استفاده از Mixins
با استفاده از Mixins میتوانیم عناصر داخل صفحاتمان را به صورت Semantic تعریف نمائیم. به عنوان مثال میخواهیم با استفاده از سیستم گرید بوتاسترپ، ساختاری مانند تصویر زیر را داشته باشیم:
در حالت معمول با استفاده از کلاسهای CSS بوتاسترپ میتوانیم اینکار را انجام دهیم:
<div class="container">
<div class="row">
<div class="col-md-8">
Content - Main
</div>
<div class="col-md-4">
Content - Secondary
</div>
</div>
</div> <div class="wrapper">
<div class="content-main">
Content - Main
</div>
<div class="content-secondary">
Content - Secondary
</div>
</div> در بوت استرپ از Less Mixins جهت اعمال استایل هایی مانند row و column میتوانیم استفاده کنیم. به طور مثال برای اعمال استایل به کلاسهای فوق میتوانیم به این صورت عمل کنیم:
// Core variables and mixins
@import "variables.less";
@import "mixins.less";
.wrapper {
.make-row();
}
.content-main {
.make-lg-column(8);
}
.content-secondary {
.make-lg-column(3);
.make-lg-column-offset(1);
} کد فوق بعد از کامپایل به کد زیر تبدیل خواهد شد:
.wrapper {
margin-left: -15px;
margin-right: -15px;
}
.content-main {
position: relative;
min-height: 1px;
padding-left: 15px;
padding-right: 15px;
}
@media (min-width: 1200px) {
.content-main {
float: left;
width: 66.66666666666666%;
}
}
.content-secondary {
position: relative;
min-height: 1px;
padding-left: 15px;
padding-right: 15px;
}
@media (min-width: 1200px) {
.content-secondary {
float: left;
width: 25%;
}
}
@media (min-width: 1200px) {
.content-secondary {
margin-left: 8.333333333333332%;
}
} همانطور که قبلاً عنوان شد ویژوال استودیو به راحتی توسط افزونه Web Essentials از فایلهای Less پشتیبانی میکند. در نتیجه کامپایل فایلهای Less داخل ویژوال استودیو توسط این افزونه به راحتی قابل انجام میباشد.
یک قابلیت جالب دیگر در رابطه با فایلهایی Less، تولید نسخههای CSS عادی و فشرده نهایی توسط افزونه Web Essentials میباشد. به طور مثال شما میتوانید نسخه minified شده را به Layout تان اضافه کنید. بعد از هربار تغییر در فایل Less این فایل نیز به روز خواهد شد:
همچنین برای دیگر اجزای بوتاسترپ نیز میتوانید به این صورت عمل کنید:
<!-- Before -->
<a href="#" class="btn danger large">Click me!</a>
<!-- After -->
<a href="#" class="annoying">Click me!</a>
a.annoying {
.btn;
.btn-danger;
.btn-large;
} 
سلام مهندس یوسف نژاد (ابتدا ممنونم از پست خوب شما)
با پیروی از پست شما
ابتدا فایلهای ریسورس در پروژه جاری فولدر App_GlobalResources گذاشتم و پروژه در صفحات aspx با قالب زیر به راحتی تغییر زبان داده میشد:
اما بعدش فایل هارو توی یک پروژه کتابخانه ای جدید گذاشتم و Build Action فایلهای ریسورس روی Embedded Resource تنظیم کردم، پروژه با موفقیت اجرا شد و در سمت سرور با کد زیر راحت به مقادیر دسترسی دارم:
اما در سمت صفحات aspx با کد قبلی به شکل زیر نمایش نمیده و خطا صادر میشه:
و خطای زیر صادر میشه:
مراحل این پست روی هم دنبال کردم اما بازم نشد.
چه تنظیماتی ست نکردم ؟
با پیروی از پست شما
ابتدا فایلهای ریسورس در پروژه جاری فولدر App_GlobalResources گذاشتم و پروژه در صفحات aspx با قالب زیر به راحتی تغییر زبان داده میشد:
<asp:Literal ID="Literal1" Text='<%$ Resources:resource, Title %>' runat="server" />
Literal1.Text=ResourcesManager.Resource.Title;
<asp:Literal ID="Literal1" runat="server" Text='<%$ ResourcesManager.Resource:resource, Title %>'/>
و خطای زیر صادر میشه:
Parser Error Description: An error occurred during the parsing of a resource required to service this request. Please review the following specific parse error details and modify your source file appropriately. Parser Error Message: The expression prefix 'ResourcesManager.Resource' was not recognized. Please correct the prefix or register the prefix in the <expressionBuilders> section of configuration. Source Error:
چه تنظیماتی ست نکردم ؟
هنگام نمایش اطلاعات در وب باید اطلاعات خام دریافتی از کاربر را encode کرده و سپس نمایش داد تا از حملات XSS یا cross site scripting attacks در امان ماند. مثلا وبلاگی را طراحی کردهاید و یک نفر اطلاعات زیر را بجای توضیحات ارسال کرده است:
<SCRIPT>alert('XSS')</SCRIPT>
مایکروسافت برای این منظور Microsoft Anti-Cross Site Scripting Library را ارائه داده است. نمونه بهبود یافته HttpUtility.HtmlEncode که در فضای نام System.Web موجود است.
در اینجا قصد داریم این کتابخانه را با لیست زیر آزمایش کنیم:
http://ha.ckers.org/xss.html
در همان صفحه اگر دقت کنید، لیست حملات را به صورت یک فایل xml هم ارائه داده است:
http://ha.ckers.org/xssAttacks.xml
برای خواندن این فایل xml در دات نت روشهای زیادی وجود دارد منجمله XML serialization .
ساختار این فایل به شکل زیر است:
<?xml version="1.0" encoding="UTF-8"?>
<xss>
<attack>
<name>x1</name>
<code>x2</code>
<desc>x3</desc>
<label>x4</label>
<browser>x5</browser>
</attack>
.
.
.
public class attack{
public string name { get; set; }
public string code { get; set; }
public string desc { get; set; }
public string label { get; set; }
public string browser { get; set; }
}
using System.Collections.Generic;
using System.IO;
using System.Xml.Serialization;
public static List<attack> DeserializeFromXML(string path)
{
XmlRootAttribute root = new XmlRootAttribute("xss");
XmlSerializer deserializer =
new XmlSerializer(typeof (List<attack>),root);
using (TextReader textReader = new StreamReader(path))
{
return (List<attack>)deserializer.Deserialize(textReader);
}
}
using System;
using System.Collections.Generic;
using System.IO;
using System.Text;
using Microsoft.Security.Application;
private static void testMethod()
{
StringBuilder sb = new StringBuilder();
sb.AppendFormat("<html>{0}", Environment.NewLine);
sb.AppendFormat("<body>{0}", Environment.NewLine);
List<attack> data = XMLParser.DeserializeFromXML("xssAttacks.xml");
foreach (attack atk in data)
{
string cleanSafeHtmlInput = AntiXss.HtmlEncode(atk.code);
sb.AppendFormat("{0}<br>{1}", cleanSafeHtmlInput, Environment.NewLine);
}
sb.AppendFormat("</body>{0}", Environment.NewLine);
sb.AppendFormat("</html>");
File.WriteAllText("out.htm", sb.ToString());
}