دریافت رایگان تصاویر و وکتورهای مورد نیاز برای طراحی صفحات
دریافت کتاب رایگان Twitter Bootstrap از انتشارات Succinctly 
آقا تم جدید مبارک!
برای فعالسازی SSL در ASP.NET Core میتوانیم از ویژگی RequireHttps برای کنترلرها و همچنین اکشنمتدها استفاده کنیم:
اکنون اگر پروژه را اجرا کنید، خروجی به صورت زیر خواهد بود و اگر به آدرس Account/Login مراجعه کنید، چیزی در خروجی نمایش داده نخواهد شد:
با اجرای دستورات فوق، باید یک فایل جدید با نام localhost.pfx و تعدادی فایل دیگر، درون پروژه ایجاد شده باشند:
سپس فایل Program.cs را به صورت زیر تغییر دهیم:
در این حالت با مراجعه به کنترلری که با ویژگی RequireHttps مزین شدهاست، به صورت خودکار، درخواست به نسخه HTTPS هدایت خواهد شد:
[RequireHttps]
public class AccountController : Controller
{
public IActionResult Login()
{
return Content("Login Page");
}
} 
علت آن نیز این است که اگر درخواست HTTPS نباشد، یک Permanent Redirect به همان URL خواهیم داشت؛ زیرا بر روی پورتی که پروژه توسط آن اجرا شدهاست، هیچ certificateی نصب نشدهاست. در ادامه میخواهیم یک self-signed certificate تستی را برای اجرای پروژه ایجاد کنیم.
توسط دستورات زیر میتوانید یک certificate را برای localhost ایجاد کنید:
$ openssl genrsa -out key.pem 2048 $ openssl req -new -sha256 -key key.pem -out csr.csr $ openssl req -x509 -sha256 -days 365 -key key.pem -in csr.csr -out certificate.pem openssl pkcs12 -export -out localhost.pfx -inkey key.pem -in certificate.pem
اکنون باید Kestrel را از وجود این certificate مطلع کنیم. برای انجام اینکار ابتدا باید پکیج زیر را نصب کنیم:
$ dotnet add package Microsoft.AspNetCore.Server.Kestrel.Https
namespace testingSSL
{
public class Program
{
public static void Main(string[] args)
{
BuildWebHost(args).Run();
}
public static IWebHost BuildWebHost(string[] args) =>
WebHost.CreateDefaultBuilder(args)
.UseKestrel(options =>
{
options.Listen(IPAddress.Any, 8080);
options.Listen(IPAddress.Any, 443,
listenOptions => listenOptions.UseHttps("localhost.pfx", "qwe123456"));
})
.UseStartup<Startup>()
.Build();
}
} 
البته تا اینجا، هدف بررسی ویژگی RequireHttps بود؛ طبیعتاً به SSL در حین Development نیازی نخواهید داشت. در نتیجه میتوانیم به صورت Global تمامی کنترلرها را در زمان Production به ویژگی گفته شده مزین کنیم:
private readonly IHostingEnvironment _env;
public Startup(IConfiguration configuration,
IHostingEnvironment env)
{
Configuration = configuration;
_env = env;
}
public IConfiguration Configuration { get; }
// This method gets called by the runtime. Use this method to add services to the container.
public void ConfigureServices(IServiceCollection services)
{
services.AddMvc();
if (!_env.IsDevelopment())
services.Configure<MvcOptions>(o => o.Filters.Add(new RequireHttpsAttribute()));
}
(Http Strict Transport Security (HSTS
هدایت کردن خودکار درخواست از حالت HTTP به HTTPS، توسط خیلی از سایتها انجام میشود:
البته این روش بهتر از استفاده نکردن از SSL است؛ اما در نظر داشته باشید که همیشه اولین درخواست به صورت رمزنگاری نشده ارسال خواهد شد. فرض کنید در یک محیط پابلیک از طریق WiFi به اینترنت متصل شدهایم. شخصی (هکر) که بر روی مودم کنترل دارد، طوری WiFi را پیکربندی کردهاست که به جای آدرس اصلی که در تصویر مشاهده میکنید، یک نسخه جعلی از سایت باز شود؛ به طوریکه URL همانند URL اصلی باشد. در اینحالت کاربر به جای اینکه نامکاربری و کلمهعبور را وارد سایت اصلی کند، آن را درون سایت جعلی وارد خواهد کرد. برای حل این مشکل میتوانیم وبسایتمان را طوری تنظیم کنیم که هدر Strict-Transport-Security را به هدر اولین responseی که توسط مرورگر دریافت میشود اضافه کند:
Strict-Transport-Security: max-age=31536000
بنابراین مرورگر وبسایت را درون یک لیست internal به مدت یکسال (مقدار max-age) نگهداری خواهد کرد؛ در طول این زمان به هیچ درخواست ناامنی اجازه داده نخواهد شد. به این قابلیت HSTS گفته میشود. البته ASP.NET Core به صورت توکار روشی را جهت اضافه کردن این هدر ارائه نداده است؛ اما میتوانیم خودمان یک Middleware سفارشی را به pipeline اضافه کنیم تا اینکار را برایمان انجام دهد:
namespace testingSSL.Middleware
{
public class HstsMiddleware
{
private readonly RequestDelegate _next;
public HstsMiddleware(RequestDelegate next)
{
_next = next;
}
public Task Invoke(HttpContext context)
{
if (!context.Request.IsHttps)
return _next(context);
if (IsLocalhost(context))
return _next(context);
context.Response.Headers.Add("Strict-Transport-Security", "max-age=31536000");
return _next(context);
}
private bool IsLocalhost(HttpContext context)
{
return string.Equals(context.Request.Host.Host, "localhost", StringComparison.OrdinalIgnoreCase);
}
}
}
یا اینکه میتوانیم از کتابخانه NWebSec استفاده کنیم:
$ dotnet add package NWebsec.AspNetCore.Middleware
برای استفاده از آن نیز خواهیم داشت:
app.UseHsts(h => h.MaxAge(days: 365));
اما هنوز یک مشکل وجود دارد؛ هنوز مشکل اولین درخواست را برطرف نکردهایم. زیرا مرورگر برای دریافت این هدر نیاز به مراجعه به سایت دارد. برای حل این مشکل میتوانید آدرس وبسایت خود را در سایت hstspreload ثبت کنید، سپس متد PreLoad را به کد فوق اضافه کنید:
app.UseHsts(h => h.MaxAge(days: 365).Preload());
در اینحالت حتی اگر کسی به وبسایت شما مراجعه نکند، مرورگر میداند که باید از HTTPS استفاده کند. زیرا این لیست به صورت توکار درون مرورگر تعبیه شدهاست. بنابراین در اینحالت مطمئن خواهیم شد که تمامی connectionها به سایتمان امن میباشند.
دریافت کدهای مطلب جاری (+)
- بحث جاری مطلقا ارتباطی به Angular ندارد. HttpClient آن بحث دات نتی هست و نه Angular ای.
- در سمت سرور «یک نکتهی تکمیلی: پشتیبانی توکار ASP.NET Core 2.0 از Range headers» فوق را با تنظیم پارامتر enableRangeProcessing: true انجام دهید، کافی است و هیچ تغییر دیگری را نیاز ندارد (همان مثالهای قسمت آخر آن ...به علاوه تمام متدهای بازگشت فایل، پارامتر enableRangeProcessing را نیز به همراه دارند... ).
- در مورد دریافت فایلهای باینری در برنامههای Angular: «دریافت و نمایش تصاویر از سرور در برنامههای Angular» و «نمایش، ذخیره و چاپ فایلهای PDF در برنامههای Angular»
- در مورد نمایش درصد پیشرفت دانلود و یا آپلود فایلها در برنامههای Angular بدون نیاز به کامپوننت جانبی؛ که بدون آن، کاربر باید تا آخرین لحظهی دریافت و یا آپلود بایتها، بدون نمایش گزارشی، صبر کند و شاید اینطور تصور کند که دریافت و یا آپلود یکجا و یکباره بودهاست: «یک نکتهی تکمیلی: به روز رسانی مثال مطلب جاری جهت گزارش درصد پیشرفت آپلود فایلها توسط HTTP Client جدید Angular»
ممنون از تهیه epub
لطفا اگه امکان داره قسمت اشتراکهای سایت را هم در فایل epub قرار بدید.
با استفاده از این سایت میتوانید خودتان فونتها را انتخاب کنید.
در ضمن شما میتوانید با فایل کانفیگ که به شما میدهد میتوانید آنرا بروزرسانی کنید .
این کار زمان publish سایت انجام میشه و تنظیماتی که روی فایل web.config انجام شده رو اعمال میکنه.
سلام
ممنون. برای پرینت میتونید از فایل chm قرار داده شده (خلاصه وبلاگ، منوی سمت راست بالای سایت) هم استفاده کنید.
ممنون. برای پرینت میتونید از فایل chm قرار داده شده (خلاصه وبلاگ، منوی سمت راست بالای سایت) هم استفاده کنید.
- علت اینکه این مطلب رو نوشتم مربوط به زمانی بود که پروژهای از قبل موجود بود با فایل pfx آن و قصد داشتم معادل محافظت نشده فایل pfx آنرا تولید کنم.
- در مورد تولید فایلهای pfx و snk یک مطلب نسبتا جامع در سایت داریم.
- به نظر من زمانیکه یک پروژه سورس باز است، امضا کردن اسمبلیهای آن آنچنان مفهومی ندارد چون دسترسی به سورس و حتی ارائه آن بر اساس اطمینان به جامعه مصرف کننده صورت میگیرد. خیلی خیلی کم هستند موارد سوء استفاده از اسمبلیهای امضاء شده به این صورت. مگر اینکه بحث پروژه کرنل لینوکس با تعداد مصرف کننده بالا و اهمیت امنیتی آن مطرح باشد که نیاز به امضای فایلهای باینری آن وجود داشته باشد.
- در مورد تولید فایلهای pfx و snk یک مطلب نسبتا جامع در سایت داریم.
- به نظر من زمانیکه یک پروژه سورس باز است، امضا کردن اسمبلیهای آن آنچنان مفهومی ندارد چون دسترسی به سورس و حتی ارائه آن بر اساس اطمینان به جامعه مصرف کننده صورت میگیرد. خیلی خیلی کم هستند موارد سوء استفاده از اسمبلیهای امضاء شده به این صورت. مگر اینکه بحث پروژه کرنل لینوکس با تعداد مصرف کننده بالا و اهمیت امنیتی آن مطرح باشد که نیاز به امضای فایلهای باینری آن وجود داشته باشد.