بالازاده بالازاده
نظرات مطالب
احراز هویت و اعتبارسنجی کاربران در برنامه‌های Angular - قسمت چهارم - به روز رسانی خودکار توکن‌ها
نکاتی کوچک و پراکنده در سایت که به حل خطای 400 (Bad Request) در اجرای متد refreshToken کمک کرده و می‌تواند یافتن آن‌ها زمانبر باشد.
نکته:  "سرور و کلاینت در دو دامنه جدا از هم اجرا می‌شوند."

در این حالت می‌توان در سمت سرور در قسمت تنظیمات فایل Startup.cs  مقدار ClockSkew را تغییر داد
cfg.TokenValidationParameters = new TokenValidationParameters
{  
   //... 
   //ClockSkew = TimeSpan.Zero            
   ClockSkew = TimeSpan.FromMinutes(5)
}

برای ارسال کوکی XSRF-TOKEN  در هدر درخواست با عنوان  X-XSRF-TOKEN  بین دامنه‌ها باید در سمت کلاینت withCredentials: true تنظیم شود 
this.http
    .post<Xyz>(`${this.apiUrl}`, data, { withCredentials: true /* For CORS */ })
    .map(response => response || {})
    .catch(this.handleError);
و  یا از یک HTTP Interceptor استفاده کرد:
@Injectable()
export class CORSInterceptor implements HttpInterceptor {

    constructor() {}

    intercept(request: HttpRequest<any>, next: HttpHandler): Observable<HttpEvent<any>> {
        request = request.clone({
            withCredentials: true
        });
        return next.handle(request);
    }
}

3- تنظیمات CORS در ASP.NET Core 2.2
عدم استفاده از AllowAnyOrigin و AllowCredential با هم در تنظیمات سمت سرور در فایل Startup.cs:
app.UseCors(builder => builder
                .AllowAnyHeader()
                .AllowAnyMethod()
                //.AllowAnyOrigin()
                .SetIsOriginAllowed((host) => true)
                .AllowCredentials()
            );
و یا
services.AddCors(options =>
        {
            options.AddPolicy("CorsPolicy",
                builder => builder
                  .AllowAnyMethod()
                  .AllowAnyHeader()
                  .WithOrigins("http://localhost:4200")
                  .AllowCredentials()
            .Build());
        });
app.UseCors("CorsPolicy");
‫۴ سال و ۱۱ ماه قبل، شنبه ۱۱ آبان ۱۳۹۸، ساعت ۲۰:۲۹
ع ابراهیمی ع ابراهیمی
نظرات مطالب
اعتبارسنجی مبتنی بر JWT در ASP.NET Core 2.0 بدون استفاده از سیستم Identity
با سلام؛ زمانیکه ساعت سیستم کاربر با ساعت سیستم سرور مغایرت داشته باشد، مثلا 1 ساعت جلوتر باشد، پس از لاگین، کاربر AccessToken  نال  و خطای 401  بر میگرداند. ممکن است کاربری از این موضوع مطلع نباشد تا ساعت Device خود را تغییر دهد. راه حل این مشکل چیست؟ آیا با ارسال ساعت فعلی کاربر به سرور جهت استفاده در تولید توکن مشکل حل میشود؟ 
‫۱ سال و ۵ ماه قبل، سه‌شنبه ۱۵ فروردین ۱۴۰۲، ساعت ۲۲:۱۵
محسن کریمی محسن کریمی
نظرات نظرسنجی‌ها
ساعت کاری محل کار شما چگونه است؟
اگر ساعت کاری بین 8 تا 17 یا 7.30 تا 16.30 باشه دیگه نباید پنجشنبه وجود داشته باشه براساس قانون وزارت کار. جاهایی که بیشتر از 9 ساعت با پنجشنبه‌ها هستش دارن سوء استفاده می‌کنن(البته تا جایی که من می‌دونم)
به نظرمن بهتر یکی از گزینه‌ها به ۹ ساعت در روز بین ساعت مشخص شنبه تا چهارشنبه و یک مورد هم ۹ ساعت در روز با پنجشنبه تغییر کند
‫۸ سال و ۳ ماه قبل، چهارشنبه ۳۰ تیر ۱۳۹۵، ساعت ۱۰:۳۶
وحید نصیری وحید نصیری
مطالب
نمایش خودکار آیکون لینک‌های سایت‌های خارجی با استفاده از jQuery

اگر دقت کرده باشید در کنار هر لینک خارجی (هر لینک ختم شده به خارج از سایت) در این وبلاگ، آیکون آن سایت هم به صورت خودکار نمایش داده می‌شود. از نظر من جالب بوده (خصوصا جهت مشخص کردن وجود یک لینک در میان انبوهی متن، یا برای نمایش لیستی از لینک‌ها)، نظر شما رو نمی‌دونم!
این‌کار در ادامه‌ی مطلبی است که در مورد نوشتن اسکریپت‌های گریس مانکی چندی قبل منتشر کردم. البته بهبود یافته‌ی آن است. برای ایجاد یک چنین قابلیتی در سایت فقط کافی است چند سطر اسکریپت زیر را به هدر سایت خود اضافه کنید.

<script src='http://ajax.googleapis.com/ajax/libs/jquery/1.2.6/jquery.min.js' type='text/javascript' />
<script type="text/javascript">
   $(document).ready(function(){
       $("a").each(function(){
           var $a = $(this);
           var href = $a.attr("href");
           // see if the link is external 
           if (href && href.match(/^http/))
               if (!href.match(document.domain)) {
                   var domain = href.replace(/<\S[^><]*>/g, "").split('/')[2];
                   var image = '<img src="http://' + domain +
                   '/favicon.ico" width="0" ' +
                   ' onload="this.width=16;this.height=16;this.style.paddingLeft=\'3px\';this.style.paddingRight=\'1px\';" ' +
                   ' style="border:0" ' +
                   ' onerror="this.src=\'http://vahid.nasiri.googlepages.com/weblink.gif\';" />';
                   $(this).prepend(image);
               }
       });
   });
</script>

توضیحاتی در مورد جزئیات برنامه نویسی آن:
با استفاده از jQuery ، زمانیکه document ما ready شد ( document.ready )، تمام لینک‌های موجود در صفحه را پیدا می‌کنیم (یک به یک). سپس مقدار href آن‌ها را می‌خوانیم (ببینید با jQuery انجام این نوع کارها چقدر ساده شده است). اکنون روی لینک دریافت شده باید پردازش صورت گیرد و نام دومین آن جدا شود (اگر ختم به خارج از سایت بود). سپس بر اساس این دومین ، یک تگ img منتهی به آیکون آن سایت طراحی و نمایش داده خواهد شد (به قبل از لینک اضافه می‌شود).
عموما هر پروژه‌ای هر چند کوچک و به ظاهر کم اهمیت، نکات خاصی را به همراه دارد.
برای مثال، در ابتدای کار width=0 در نظر گرفته نشد. مشکلی را که ایجاد کرد این بود که یک سایت ممکن است اصلا favicon.ico نداشته باشد. فایرفاکس محترم اصلا به روی مبارک هم نخواهد آورد و شما متوجه نخواهید شد که در صفحه کمبود تصویری وجود دارد. اما در IE حتما جای خالی آیکون و تصویر به نحوه واضحی گوشزد می‌شود. بنابراین در ابتدای کار قرار نیست چیزی را نمایش دهیم (width=0). سپس در رخ‌داد onload تگ img، اگر تصویر واقعا وجود داشت و بارگذاری شد، طول و عرض آن‌را 16 در 16 قرار خواهیم داد (این مورد هم لازم است. چون بعضی از سایت‌ها اندازه‌های بسیار بزرگی را برای آیکون خود در نظر می‌گیرند که اصلا مقصود ما را برآورده نخواهند کرد).
این مورد (عدم نمایش تصاویری که وجود ندارند) مشکلی را که در ادامه ایجاد خواهد کرد، عدم یکنواختی در سایت است. یک سری از لینک‌های خارجی آیکون دارند و یک سری خیر. نکته جالبی که در مورد تگ img وجود دارد رخ‌داد onerror آن است. اگر مرورگر نتواند تصویر مورد نظر را پیدا یا بارگذاری کند، این روال رخ‌داد‌ گردان فراخوانی می‌شود. همینجا از موقعیت استفاده شده و src تصویر جاری به یک آیکون مشخص و از قبل تعیین شده تنظیم می‌شود.

‫۱۵ سال و ۱۱ ماه قبل، جمعه ۲۰ دی ۱۳۸۷، ساعت ۰۴:۴۰
علی یگانه مقدم علی یگانه مقدم
مطالب
آشنایی با ساختار IIS قسمت یازدهم
در این مطلب و همینطور مطلب بعدی قرار است به مبحث لاگ فایل‌ها Logfile بپردازیم. همانطور که می‌دانید سیستم IIS مثل هر سیستم دیگری لاگ هایی دارد که به مرور زمان این لاگ‌ها میتوانند مقدار زیادی از ظرفیت دیسک سخت را به خود اختصاص بدهند و این عمل میتواند موجب بروز مشکلاتی در سرور شود. به خوبی به یاد دارم که برای یکی از مشتریانم VPS تهیه نموده بودیم و بعد از یک سال با من تماس گرفت که سایت بالا نمی‌آید و وقتی بررسی شد، دیدم که از فضای دیسک سخت چند گیگابایتی، تنها چند مگابایت به طور ناچیز فضا برایش باقی مانده است و باعث شده است سرور از کار بیفتد. پس از بررسی متوجه شدیم تمام این فضاها توسط لاگ فایل‌ها پر شده است و از آنجا که سرویس دهنده تا مبلغی را به عنوان مدیریت سرور، ماهانه دریافت نکند، مدیریت این سرور مجازی را به عهده نداشته اند که البته بعدها با انتقال به یک سرور دیگر از یک سرویس دهنده دیگر مشکلات ما در مورد سرور برای همیشه حل شد.
پس این داستان به خوبی روشن می‌کند که مدیریت این لاگ‌ها چقدر میتواند مهم و حیاتی باشد. آقای تیم وَن از تیم تحریریه مایکروسافت در بخش IIS موارد زیر را برای مدیریت لاگ‌ها بر می‌شمارد:
  • فعال سازی فشرده سازی
  • انتقال لاگ‌ها به یک سیستم راه دور
  • حذف لاگ فایل‌های قدیمی از طریق اسکریپت نویسی
  • حذف لاگ فایل‌های قدیمی توسط IIS Log File Cleaner

فشرده سازی دایرکتوری لاگ فایل ها
مسیر ذخیره لاگ فایل‌ها در آدرس زیر می‌باشد. به این آدرس رفته و Properties دایرکتوری مورد نظر  را باز کنید و در برگه‌ی General آن، گزینه‌ی Advanced را زده تا در کادر جدیدی که باز می‌شود، گزینه‌ی Compress contents to save disk space را انتخاب کنید تا محتویات در هنگام ذخیره روی دیسک سخت فشرده شوند. 
%SystemDrive%\inetpub\logs\LogFiles

این روش ساده‌ترین روش موجود برای مدیریت لاگ هاست ولی روش نهایی نیست و باز به مرور زمان این روش هم کارایی خودش را از دست خواهد داد. این روش بیشتر شبیه خرید زمان می‌باشد تا اینکه یک راه حل نهایی برای حل مشکل باشد. البته این را هم باید مدنظر داشت که موقع تیک زدن گزینه بالا عملیات فشرده سازی باعث کند شدن سرعت کامپیوتر در حین آغاز عمل ذخیره سازی لاگ فایل‌ها هم خواهد شد. پس اگر قصد چنین کاری ذا دارید در ساعاتی که سرور کمترین فشار از طرف کاربران را دارد یا اصطلاحا پیک کاری آن پایین است انجامش دهید.

انتقال لاگ فایل‌ها به یک سیستم راه دور

همانطور که در بالا اشاره کردیم محل پیش فرض ذخیره سازی لاگ‌ها درمسیر

%SystemDrive%\inetpub\logs\LogFiles

قرار دارد و این محل ذخیره سازی برای هر سرور یا حتی یک وب سایت خاص در صفحه تنظیمات Logging مشخص شده است و شما در میتوانید این لاگ‌ها را حتی برای کل سرور یا مربوط به یک سایت خاص، به سروری دیگر انتقال دهید. این امکان می‌تواند به امنیت سیستم هم کمک فراوانی کند تا اگر دیسک محلی Local Disk هم دچار مشکل شد، باز خواندن لاگ فایل‌ها میسر باشد و با استفاده از ابزارهای تحلیل لاگ فایل ها، آن‌ها را مورد بررسی قرار دهیم. برای تغییر محل ذخیره سازی لاگ‌ها به یک سیستم راه دور، راه حل زیر را طی کنید.

در IIS وب سایتی را که میخواهید لاگ آن انتقال یابد، انتخاب کنید؛ یا اگر لاگ کل سیستم IIS را میخواهید انتقال بدهید نام سرور را در لیست درختی انتخاب کنید و از ماژول‌های سمت راست، ماژول Logging را انتخاب کنید و در قسمت Directory که محل ذخیره سازی فعلی لاگ‌ها را نوشته شده است، به صورت UNC آدرس دهی کنید. در آدرس زیر اولی نام سرور است Contoso-server1\\ و دومی هم Logs نام پوشه‌ای که به اشتراک گذاشته شده است.

حذف لاگ فایل‌های قدیمی با استفاده از اسکریپت

با این روش میتوانید لاگ فایل هایی را که بعد از مدتی معین که دلخواه شما هست، از سیستم حذف نمایید و اگر این اسکریپت را زمان بندی خودکار نمایید، می‌توانید از مراقبت مداوم و ثابت این کار نیز رها شوید.

با ستفاده از VBScript بررسی می‌کنیم که اگر مثلا عمر لاگ فایل به 30 روز رسیده است، باید حذف شوند. خط دوم کد زیر نهایت عمر یک لاگ فایل را مشخص می‌کند:

sLogFolder = "c:\inetpub\logs\LogFiles"
iMaxAge = 30   'in days
Set objFSO = CreateObject("Scripting.FileSystemObject")
set colFolder = objFSO.GetFolder(sLogFolder)
For Each colSubfolder in colFolder.SubFolders
        Set objFolder = objFSO.GetFolder(colSubfolder.Path)
        Set colFiles = objFolder.Files
        For Each objFile in colFiles
                iFileAge = now-objFile.DateCreated
                if iFileAge > (iMaxAge+1)  then
                        objFSO.deletefile objFile, True
                end if
        Next
Next

اسکریپت بالا تمامی subfolder‌ها را برای همه سایت‌ها بررسی کرده و لاگ‌های آنان را حذف می‌کند. ولی اگر دوست دارید این عملیات را تنها به یک وب سایت محدود کنید، باید مسیر را در خط اول دقیق‌تر مشخص کنید.

برای اجرای دستی اسکریپت در cmd تایپ کنید:

cscript.exe c:\scripts\retentionscript.vbs

ولی اگر میخواهید این اسکریپت در هر دوره‌ی زمانی خاص اجرا شود، یا زمان بندی Scheduling گردد، دیگر مجبور نیستید هر بار به فکر نگهداری از لاگ‌ها باشید.

زمان بندی اجرای اسکریپت

server manager (قابل تست در ویندوزهای سرور)  را باز کرده و از منوی Tools گزینه Task Scheduler را انتخاب کنید و در قسمت Actions گزینه Create Task را انتخاب نمایید. در کادر باز شده نام "Delete Log Files " را برای مثال برگزینید و در قسمت Security هم کاربری که اجازه اجرای اسکریپت را دارد مشخص کنید.

برگه Triggers را انتخاب کرده و گزینه New را انتخاب کنید و عملیات زمان بندی را تنظیم کنید و حتما بعد از زمان بندی مطمئن باشید که تیک Enabled فعال است.

در برگه Actions هم گزینه New را انتخاب کنید؛ در کادر باز شده از لیست Start a program را انتخاب کرده و در قسمت Program\script، دستور cscript را ذکر نمایید و به عنوان آرگومان ورودی Add arguments  هم مسیر اسکریپت خود را ذکر نمایید و کادر را تایید کنید.

برای آغاز زمان بندی در لیست وظیفه‌های فعال active task pane، وظیفه ای که الان ساخته اید را اجرا کرده و به مسیر ذخیره لاگ‌ها رفته و می‌بینید که لاگ‌های مورد نظر حذف شده‌اند؛ پس از صحت اجرای اسکریپت مطمئن می‌شویم. دوباره به لیست وظایف رفته و گزینه End را بزنید تا وظیفه، در حالت Ready قرار گیرد تا از همین الان فرایند زمان بندی اجرای اسکریپت آغاز شود.

حذف لاگ فایل‌ها با استفاده از IIS Log Cleaner Tools

ساده‌ترین ابزار برای مدیریت حذف لاگ فایل هاست که هر یک ساعت یکبار اجرا شده و لاگ فایل‌های تاریخ گذشته را که زمانش را شما تعیین می‌کنید، به سمت سطل زباله که البته درستش بازیافت است Recycle Bin انتقال میدهد تا از ضرر از دست دادن لاگ‌ها جلوگیری کند که بعدا شما میتوانید آن‌ها را به صورت دستی حذف کنید. همچنین عملیات خودکار حذف را نیز می‌توان متوقف نمود.

ابتدا برنامه را از اینجا  دانلود کنید. موقعیکه برنامه را اجرا کنید، در نوتیفیکیشن taskbar می‌نشیند و برنامه با یک پیغام به شما اعلام می‌کند، این اولین بار است که برنامه را باز کرده‌اید. پس یک سر به setting آن بزنید؛ با انتخاب گزینه‌ی settings برنامه بسته شده و فایل Settings.txt برای شما باز می‌شود که مدت زمان عمر لاگ فایل و مسیر ذخیره آن‌ها، از شما پرسیده می‌شود که مقدار عمر هر لاگ فایل به طور پیش فرض 30 روز و مسیر ذخیره‌ی لاگ‌ها همان مسیر پیش فرض IIS است که اگر شما دستی آن را تغییر داده اید، با پرسیدن آن، از محل لاگ‌ها اطمینان کسب می‌کند. در صورتی که قصد تغییری را در فایل، دارید آن را تغییر داده و ذخیره کنید و برنامه را مجددا اجرا کنید.

نکات نهایی در مورد این برنامه :

  • اگر از ابزار IIS Cleaner Tool استفاده می‌کنید باید دستی سطل بازیافت را هم پاک کنید و هم اینکه میتوانید یک محدودیت حجمی برای Recycle Bin قرار دهید که اگر به یک حدی رسید، خودکار پاک کند تا مشکلی برای سیستم عامل ایجاد نشود که البته به طور پیش فرض چنین است.
  • برنامه بالا به طور پیش فرض ریشه‌ی لاگ‌ها را حذف می‌کند. پس اگر میخواهید فقط سایت خاصی را مد نظر داشته باشد، آدرس دایرکتوری آن را اضافه کنید. البته چون این برنامه فقط روی یک دایرکتوری کار می‌کند و شما چند وب سایت دارید و مثلا میخواهید سه تای آن‌ها را پاکسازی کنید، چاره‌ی جز استفاده از اسکریپت‌های با زمان بندی ندارید.
  • برنامه‌ی بالا فقط فایل هایی با پسوند log را به سطل بازیافت انتقال می‌دهد.
  • برنامه‌ی بالا یک سرویس نیست و باید به طور دستی توسط کاربر اجرا گردد. پس اگر ریست هم شد باید دستی اجرا شود یا آن را به داخل پوشه startup بکشید.
  • برنامه برای اجرایش نیاز به لاگین کاربر و مجوز نوشتن در آن پوشه را دارد تا به درستی کار کند.
در قسمت بعدی مبحث لاگ‌ها را ادامه خواهیم داد و با ماژول Logging در IIS و تنظیماتش آشنا خواهیم شد.
‫۹ سال و ۹ ماه قبل، یکشنبه ۱۹ بهمن ۱۳۹۳، ساعت ۰۴:۵۰
نویسه نویسه
اشتراک‌ها
orchard core دیگر یک وب سایت مدیریت محتوا نیست !

orchard core دیگر یک وب سایت مدیریت محتوا نیست !

در نسخه Core این پروژه ( که به صورت کامل باز طراحی و بازنویسی شده ) تبدیل به یک سایت ساز شده است .

It is a completely new thing written in ASP.NET Core. The Orchard CMS was designed as a CMS, but Orchard Core was designed to be an<<  application framework >> that can be used to build a CMS, a blog or whatever you want to build 

orchard core دیگر یک وب سایت مدیریت محتوا نیست !
‫۴ سال و ۳ ماه قبل، پنجشنبه ۱۲ تیر ۱۳۹۹، ساعت ۲۰:۵۶
مهدی پایروند مهدی پایروند
مطالب
راحت بگویید نه!

با توجه به وجود کار گروهی در شرکت‌های نرم افزاری، بعضی مواقع انتظارهایی از هر نوع به شما می‌رسد که ممکن است چالشی برای کارهای در دست انجام شما بوجود آورد. در این متن سعی شده این موارد بررسی و راه حلهایی برای حل مسالمت آمیز آن پیشنهاد شود. 

- در مواقعی که کار جدیدی به شما میرسد و برآوردی از زمان انجام آن ندارید قبل از دادن هر قولی زمان کوتاهی بین نیمروز تا 2 روز برای بررسی درخواست کنید که با توجه به اهمیت موضوع ممکن است در حد بیان شفاهی یک درخواست بماند و ادامه ای نداشته باشد.

- در زمانی که موارد زیاد کار جدید در پی هم به شما رسانده میشود  قبل از انجام اگر اولویت بندی دارید طبق همان لیست کارتان را جلو ببرید و با توجه به اهمیت موضوعی، کار جدید بین کارها گنجانده شود البته برای پیشرفت بهتر کار وضعیتتان را به شخص درخواست کننده بطور اجمالی توضیح دهید و بنظر در این مواقع کمی هم چاشنی گرفتاری مناسب در توضیحتان بسیار کارآمد است.

- در بین توضیحات به شخص درخواست دهنده که معمولا رئیس قسمت و یا مدیر پروژه است حتما تصمیم گیری برای ترتیب و اهمیت کارها را به او بسپارید و لیست اولویت بندی جدید دریافتی را برای خودتان نگهدارید.

- هیچگاه خودتان را بیکار نشان ندهید، در خیلی از مواقع فرد مزاحم از کم کار بودن شما منظور تعداد کارهای در دست انجام به سراغ شما میاید. بگذارید مثالی برایتان بیاورم که در واقع خاطره ای از همکاران خودمان است. رئیس بخش به X میگوید که کارتان خیلی کم شده و Y را که نوع فعالیتش (شاید سخت افزاری که دائما بین میزها و اتاقها جابجا میشود و یا یک کیس کامپیوتر را هم ممکن است جابجا کند) با شما (خاص پشت میز بنشینید و شروع به خلق قسم‌های مختلف نرم افزار کنید) سنخیتی ندارد را در کفه دیگر ترازو قرار میدهد، خوب X هم بعد از جابجایی بی مورد چند کیس به اتاقهای در دسترس از کسی بنقل از رئیس میشنود که شما یعنی X خیلی فعالیتتان زیاد است و دارید در این مجموعه سخت تلاش میکنید.

- همیشه دور و بر میز کارتان را از صندلی‌های اضافه خالی کنید و برای گوش کردن به فرد مزاحم ترجیح بدهید که او ایستاده باشد. و اگر بحث به نقطه‌هایی غیر از مسئولیت شما رسید و یا بی مورد ادامه دار شد بطوریکه مزاحم برنامه ریزی شما شد با عکس العملتان به فرد نشان بدهید که مزاحم شماست و کارتان در اهمیت بالاتری وجود دارد.

- همیشه در بیان و جواب درخواست‌ها از مکالمه بصورت زنده استفاده کنید و نه از ایمیل و یا یادداشت.

- در هنگام طولانی شدن صحبت با فرد مزاحم با تغییر در چهره مانند مالیدن چشم و یا مرتب کردن کاغذهای روی میز و نگاه کردن مدام به ساعت مچی و یا به حاشیه بردن صورت فرد در بک گراند نگاهتان با توجه خیلی بیشتر به صفحه نمایش اعلام کنید که دیگر بس است.

- اگر تا پیش از این به خلوت بودن میز کارتان اهمیت میدادید. مطمئن باشید با ادامه این رفتار کاغذهای میز شما را دیگران افزایش میدهند نه شما، پس بهتر است که شما کاغذها را آنقدرها هم کاهش ندهید و هر از چندگاهی هم کاغذها را بور بزنید.

- ما بیکار ننشسته ایم، چطور؟ بگذارید خاطره ای برایتان تعریف کنم. یکی از دوستان مسئول قسمتی از نگهداری سرورهای اداره ای را بر عهده گرفته بود و تقریبا در یک سیکل بر اساس شیفت، کابل شبکه سرور را بیرون میکشید همکار دیگر مبهوت میشد که این کار چه سودی دارد. به تلفنهای زیادی که زده میشد جواب در حال بررسی و حل مشکل هستیم داده میشد و در آخر این سوال چرا را با این جواب میداد " ما بیکار ننشسته ایم ". یعنی این تفکر باید خلق شود که شما دور از چشم دیگران هم بیکار نیستید .

- بیشتر مواقع کاری که به شما ارجاع داده میشود بصورت باز است یعنی چه؟ کار بدون تعریف دامنه ارجاع میشود و بدین معناست که روی آن فکر نشده و فقط بیان یک نیاز(خیال) تبدیل به یک دستور کتبی شده است تا در حین کار باگها از بین برود و کار مناسب از آب بیرون بیاید. چکار باید کرد هیچوقت قول زمان را در حین توضیح و ارجاع کار به کسی ندهید زیرا با بررسی کار عمق فاجعه مشخص میشود و در آن زمان است که شما میتوانید با توجه به درکتان از مسئله حجم و زمانیکه به درخواست کننده میدهید او را نیز در نسبت به مسئله آگاه میکنید و با مشورت و مشارکت او تصمیم به انجام و یا ارائه زمانبندی بدهید.

- چرخ ساز  نباشید، در حین دریافت نقش در تراژدی نرم افزار نویسی مواظب باشید که نقش گالیله و یا کریستف کلمب را بشما ندهند. ساخت سرویس و یا نوعی سند که مستنداتی غیر از چند سایت که فقط تعاریف را نشان میدهد و از توسعه خبری نباشد. چون بعد از زمانی که بر روی پروژه میگذارید شما قیم آن نرم افزار میشوید و شکست کار شکست شماست.

- توضیح فنی ممنوع، شاید برای شما مهم باشد که از چه تکنیک و یا کتابخانه هایی استفاده میکنید ولی بالاتر از شما به این موضوع اهمیت میدهند که چند ساعت باز هم میگویم چند ساعت وقت برای آن کار صرف کرده اید. یعنی هرچه بیشتر شیفتگی خود را به کتابخانه‌های تسهیل کننده مانند افزونه هایی مثل ریشارپر نشان بدهید برای فرد مقابل که ممکن است یک برنامه نویس ADO.NET باشد شما به چشم یک کلاهبردار و یا سوء استفاده گر بنظر میایید. 

اگر دوستان هم مورادی مشابه را در نظر دارند لطفا برای مشارکت در نظرات درج کنند.

پ.ن: با توجه به بعضی نظرات لازم میدونم اینو بگم که متن بالا در واقع تمثیل ادب از که آموختی بوده تا رواج بی ادبی. البته امیدوارم برداشت خواننده این نباشه که همه مجموعه رو باید سر کار گذاشت.

‫۱۰ سال و ۱۱ ماه قبل، یکشنبه ۲۴ آذر ۱۳۹۲، ساعت ۱۳:۲۰
امین مصباحی امین مصباحی
مطالب
پالایش درخواست ها در IIS

شاید شما هم قصد داشته باشید تا از برخی درخواست‌ها به وب سایت یا اپلیکیشن خود ممانعت عمل بیاورید. نظیر درخواست‌های SQL Injection یا برخی Query String‌های خاص یا برخی درخواست‌های مزاحم.

یکی از مزاحمت هایی که گریبانگیر وب سایت هاست، Bot‌های متفاوتی است که برای کپی اطلاعات، درج کامنت به صورت خودکار و مواردی از این دست، به آنها مراجعه میکنند. شاید در نگاه اول بد نباشد که این Bot‌ها به سراغ وب سایت ما بیایند و باعث افزایش تعداد ویزیت سایتمان شوند؛ ولی ضررهای ناشی از کپی و سرقت مطالب سایت، آنهم با سرعت بالا، بیشتر از منافع ناشی از بالا رفتن رنک سایت است. به طور مثال همین سایت NET Tips. دارای تعداد زیادی مقالات مفید است که افراد متعددی در نگارش و تهیه آن‌ها زحمت کشیده اند، یا وب سایتی برای جلب اعتماد مشتریان جهت درج اطلاعاتشان و یا آگهی هایشان زحمت زیادی کشیده است، Bot‌های آماده‌ی زیادی وجود دارد که با چند دقیقه صرف وقت جهت تنظیم شدن آماده میشوند تا مطالب را طبق ساختار تعیین شده، مورد به مورد کپی کنند.

برای خلاصی از این موارد  روش‌های متعددی وجود دارد که از جمله آنها می‌توان به تنظیمات فایل htaccess در وب سرورهایی نظیر Apache و یا web.config در IIS اشاره کرد. در این مقاله این امکان را با IIS مرور میکنیم و برای فعال سازی آن کافی است در:

  • IIS 7.5 و بالاتر، همراه با انتخاب Request Filtering در مراحل نصب IIS

  • IIS 6.0 با نصب URLScan 3.0 

 در بخش <system.webServer>  و سپس <security>، تگ requestFiltering را استفاده کنیم، در این تگ دستورالعمل‌های ویژه‌ی پالایشگر درخواست‌ها را مینویسیم (filteringRules) هر دستورالعمل پالایش دارای خصیصه‌های (Attributes) زیر است:

 denyUnescapedPercent   
مقدار Boolean و انتخابی
اگر برابر با true تنظیم گردد، درخواست هایی که دارای کاراکتر "درصد" (%) هستند و به وسیله escape character ها پوشش داده نشده باشند، رد می‌شوند. (جهت جلوگیری از حملات XSS و...)
مقدار پیش فرض true است.
 
 name
عنوان دستورالعمل.
مقدار پیش فرض نداشته و درج کردن آن اجباری است.

scanAllRaw
مقدار Boolean و انتخابی
اگر برابر با true تنظیم گردد، پالایشگر درخواست‌ها موظف است تا با بررسی متن header های درخواست، در صورت یافتن یکی از واژه هایی که در خصیصه denyStrings ذکر کرده اید، درخواست را رد کند.
مقدار پیش فرض false است.
 
 scanQueryString   
مقدار Boolean و انتخابی
اگر برابر با true تنظیم گردد، پالایشگر درخواست‌ها موظف است تا Query string را بررسی کند تا در صورتی که یکی از واژه‌های درج شده در خصیصه denyStrings را بیابد، درخواست را رد کند.
اگر خصیصه‌ی unescapeQueryString از تگ < requestFiltering > برابر با true باشد، query string دوبار بررسی می‌شود: یکبار متن query string برای یافتن عبارات ممنوعه و بار دیگر برای یافتن کاراکترهای بدون پوشش scaped .
مقدار پیشفرض false است.
 
 scanUrl   
مقدار Boolean و انتخابی
اگر برابر با true تنظیم گردد، پالایشگر درخواست‌ها URL را برای یافتن واژه‌های ممنوعه‌ی ذکر شده در خصیصه denyStrings بررسی می‌نماید.
مقدار پیش فرض false است.
 

چند مثال:
مثال 1: در این مثال عنوان User-Agent هایی را که در موارد متعدد برای وب سایت هایی که روی آنها کار میکردم مزاحمت ایجاد میکردند را پالایش میکنیم. (لیست این Bot‌ها آپدیت میشود)
<requestFiltering>
  <filteringRules>
    <filteringRule name="BlockSearchEngines" scanUrl="false" scanQueryString="false">
      <scanHeaders>
        <clear />
        <add requestHeader="User-Agent" />
      </scanHeaders>
      <appliesTo>
        <clear />
      </appliesTo>
      <denyStrings>
        <clear />
        <add string="Python UrlLib" />
        <add string="WGet" />
        <add string="Apache HttpClient" />
        <add string="Unknown Bot" />
        <add string="Yandex Spider" />
        <add string="libwww-perl" />
        <add string="Nutch" />
        <add string="DotBot" />
        <add string="CCBot" />
        <add string="Majestic 12 Bot" />
        <add string="Java" />
        <add string="Link Checker" />
        <add string="Baiduspider" />
        <add string="Exabot" />
        <add string="PHP" />
      </denyStrings>
    </filteringRule>
  </filteringRules>
</requestFiltering>

مثال 2: ممانعت از SQL Injection 

<requestFiltering>
   <filteringRules>
      <filteringRule name="SQLInjection" scanUrl="false" scanQueryString="true">
         <appliesTo>
            <clear />
            <add fileExtension=".asp" />
            <add fileExtension=".aspx" />
            <add fileExtension=".php" />
         </appliesTo>
         <denyStrings>
            <clear />
            <add string="--" />
            <add string=";" />
            <add string="/*" />
            <add string="@" />
            <add string="char" />
            <add string="alter" />
            <add string="begin" />
            <add string="cast" />
            <add string="create" />
            <add string="cursor" />
            <add string="declare" />
            <add string="delete" />
            <add string="drop" />
            <add string="end" />
            <add string="exec" />
            <add string="fetch" />
            <add string="insert" />
            <add string="kill" />
            <add string="open" />
            <add string="select" />
            <add string="sys" />
            <add string="table" />
            <add string="update" />
         </denyStrings>
         <scanHeaders>
            <clear />
         </scanHeaders>
      </filteringRule>
   </filteringRules>
</requestFiltering>

مثال 3: ممانعت از درخواست انواع خاصی از فایل ها 

<requestFiltering>
   <filteringRules>
      <filteringRule name="Block Image Leeching" scanUrl="false" scanQueryString="false" scanAllRaw="false">
         <scanHeaders>
            <add requestHeader="User-agent" />
         </scanHeaders>
         <appliesTo>
            <add fileExtension=".zip" />
            <add fileExtension=".rar" />
            <add fileExtension=".exe" />
         </appliesTo>
         <denyStrings>
            <add string="leech-bot" />
         </denyStrings>
      </filteringRule>
   </filteringRules>
</requestFiltering>

اطلاعات بیشتر در وب سایت رسمی IIS

‫۱۰ سال و ۶ ماه قبل، شنبه ۳۰ فروردین ۱۳۹۳، ساعت ۲۳:۳۰