با ارائه شدن نسخههای پیش نمایش 2013 Office و Share Point 2013، ابزار توسعه Napa برای کار بر روی این دو بستر ارائه شده است. جهت آشنایی با این ابزارها و مشاهده نمونه کدها مطالعه لینک مفید خواهد بود.
در پست قبلی نحوه سفارشی کردن پروفایل کاربران در ASP.NET Identity را مرور کردیم. اگر بیاد داشته باشید یک فیلد آدرس ایمیل به کلاس کاربر اضافه کردیم. در این پست از این فیلد استفاده میکنیم تا در پروسه ثبت نام ایمیلها را تصدیق کنیم. بدین منظور پس از ثبت نام کاربران یک ایمیل فعالسازی برای آنها ارسال میکنیم که حاوی یک لینک است. کاربران با کلیک کردن روی این لینک پروسه ثبت نام خود را تایید میکنند و میتوانند به سایت وارد شوند. پیش از تایید پروسه ثبت نام، کاربران قادر به ورود نیستند.
در ابتدا باید اطلاعات کلاس کاربر را تغییر دهید تا دو فیلد جدید را در بر گیرد. یک فیلد شناسه تایید (confirmation token) را ذخیره میکند، و دیگری فیلدی منطقی است که مشخص میکند پروسه ثبت نام تایید شده است یا خیر. پس کلاس ApplicationUser حالا باید بدین شکل باشد.
اگر پیش از این کلاس ApplicationUser را تغییر داده اید، باید مهاجرتها را فعال کنید و دیتابیس را بروز رسانی کنید. حالا میتوانیم از این اطلاعات جدید در پروسه ثبت نام استفاده کنیم و برای کاربران ایمیلهای تاییدیه را بفرستیم.
برای تولید شناسههای تایید (tokens) از کلاسی بنام ShortGuid استفاده شده است. این کلاس یک مقدار GUID را encode میکند که در نتیجه آن مقدار خروجی کوتاهتر بوده و برای استفاده در URLها ایمن است. کد این کلاس را از این وبلاگ گرفته ام. پس از ایجاد حساب کاربری باید شناسه تولید شده را به آن اضافه کنیم و مقدار فیلد IsConfirmed را به false تنظیم کنیم. برای تولید ایمیلها من از Postal استفاده میکنم. Postal برای ساختن ایمیلهای دینامیک شما از موتور Razor استفاده میکند. میتوانید ایمیلهای ساده (plain text) یا HTML بسازید، عکس و فایل در آن درج و ضمیمه کنید و امکانات بسیار خوب دیگر. اکشن متد RegisterStepTwo تنها کاربر را به یک View هدایت میکند که پیامی به او نشان داده میشود.
متد ConfirmAccount سعی میکند کاربری را در دیتابیس پیدا کند که شناسه تاییدش با مقدار دریافت شده از URL برابر است. اگر این کاربر پیدا شود، مقدار خاصیت IsConfirmed را به true تغییر میدهیم و همین مقدار را به تابع باز میگردانیم. در غیر اینصورت false بر میگردانیم. اگر کاربر تایید شده است، میتواند به سایت وارد شود. برای اینکه مطمئن شویم کاربران پیش از تایید ایمیل شان نمیتوانند وارد سایت شوند، باید اکشن متد Login را کمی تغییر دهیم.
تنها کاری که میکنیم این است که به دنبال کاربری میگردیم که فیلد IsConfirmed آن true باشد. اگر مقدار این فیلد false باشد کاربر را به سایت وارد نمیکنیم و پیغام خطایی نمایش میدهیم.
توضیحاتی درباره کار با Postal
public class ApplicationUser : IdentityUser
{
public string Email { get; set; }
public string ConfirmationToken { get; set; }
public bool IsConfirmed { get; set; }
} private string CreateConfirmationToken()
{
return ShortGuid.NewGuid();
}
private void SendEmailConfirmation(string to, string username, string confirmationToken)
{
dynamic email = new Email("RegEmail");
email.To = to;
email.UserName = username;
email.ConfirmationToken = confirmationToken;
email.Send();
}
//
// POST: /Account/Register
[HttpPost]
[AllowAnonymous]
[ValidateAntiForgeryToken]
public async Task<ActionResult> Register(RegisterViewModel model)
{
if (ModelState.IsValid)
{
string confirmationToken = CreateConfirmationToken();
var user = new ApplicationUser()
{
UserName = model.UserName,
Email = model.Email,
ConfirmationToken = confirmationToken,
IsConfirmed = false };
var result = await UserManager.CreateAsync(user, model.Password);
if (result.Succeeded)
{
SendEmailConfirmation(model.Email, model.UserName, confirmationToken);
return RedirectToAction("RegisterStepTwo", "Account");
}
else
{
AddErrors(result);
}
}
// If we got this far, something failed, redisplay form
return View(model);
} بعد از اینکه کاربر ایمیل را دریافت کرد و روی لینک تایید کلیک کرد به اکشن متد RegisterConfirmation باز میگردیم.
private bool ConfirmAccount(string confirmationToken)
{
ApplicationDbContext context = new ApplicationDbContext();
ApplicationUser user = context.Users.SingleOrDefault(u => u.ConfirmationToken == confirmationToken);
if (user != null)
{
user.IsConfirmed = true;
DbSet<ApplicationUser> dbSet = context.Set<ApplicationUser>();
dbSet.Attach(user);
context.Entry(user).State = EntityState.Modified;
context.SaveChanges();
return true;
}
return false;
}
[AllowAnonymous]
public ActionResult RegisterConfirmation(string Id)
{
if (ConfirmAccount(Id))
{
return RedirectToAction("ConfirmationSuccess");
}
return RedirectToAction("ConfirmationFailure");
} [HttpPost]
[AllowAnonymous]
[ValidateAntiForgeryToken]
public async Task<ActionResult> Login(LoginViewModel model, string returnUrl)
{
if (ModelState.IsValid)
{
var user = await UserManager.FindAsync(model.UserName, model.Password);
if (user != null && user.IsConfirmed)
{
await SignInAsync(user, model.RememberMe);
return RedirectToLocal(returnUrl);
}
else
{
ModelState.AddModelError("", "Invalid username or password.");
}
}
// If we got this far, something failed, redisplay form
return View(model);
} همین. این تمام چیزی بود که برای اضافه کردن تصدیق ایمیل به اپلیکیشن خود نیاز دارید. از آنجا که سیستم ASP.NET Identity با Entity Framework مدیریت میشود و با مدل Code First ساخته شده، سفارشی کردن اطلاعات کاربران و سیستم عضویت سادهتر از همیشه است.
توضیحاتی درباره کار با Postal
اگر به متد SendEmailConfirmation دقت کنید خواهید دید که آبجکتی از نوع Email میسازیم (که در اسمبلیهای Postal وجود دارد) و از آن برای ارسال ایمیل استفاده میکنیم. عبارت "RegEmail" نام نمایی است که باید برای ساخت ایمیل استفاده شود. این متغیر از نوع dynamic است، مانند خاصیت ViewBag. بدین معنا که میتوانید مقادیر مورد نظر خود را بصورت خواص دینامیک روی این آبجکت تعریف کنید. از آنجا که Postal از موتور Razor استفاده میکند، بعدا در View ایمیل خود میتوانید به این مقادیر دسترسی داشته باشید.
در پوشه Views پوشه جدیدی بنام Emails بسازید. سپس یک فایل جدید با نام RegEmail.cshtml در آن ایجاد کنید. کد این فایل را با لیست زیر جایگزین کنید.
To: @ViewBag.To
From: YOURNAME@gmail.com
Subject: Confirm your registration
Hello @ViewBag.UserName,
Please confirm your registration by following the link bellow.
@Html.ActionLink(Url.Action("RegisterConfirmation", "Account", new { id = @ViewBag.ConfirmationToken }), "RegisterConfirmation", "Account", new { id = @ViewBag.ConfirmationToken }, null) این فایل، قالب ایمیلهای شما خواهد بود. ایمیلها در حال حاظر بصورت plain text ارسال میشوند. برای اطلاعات بیشتر درباره ایمیلهای HTML و امکانات پیشرفتهتر به سایت پروژه Postal مراجعه کنید.
همانطور که مشاهده میکنید در این نما همان خاصیتهای دینامیک تعریف شده را فراخوانی میکنیم تا مقادیر لازم را بدست آوریم.
- ViewBag.To آدرس ایمیل گیرنده را نشان میدهد.
- ViewBag.UserName نام کاربر جاری را نمایش میدهد.
- ViewBag.ConfirmationToken شناسه تولید شده برای تایید کاربر است.
در این قالب لینکی به متد RegisterConfirmation در کنترلر Account وجود دارد که شناسه تایید را نیز با پارامتری بنام id انتقال میدهد.
یک فایل ViewStart.cshtml_ هم در این پوشه بسازید و کد آن را با لیست زیر جایگزین کنید.
@{ Layout = null; /* Overrides the Layout set for regular page views. */ } 
در قسمت دوم، از متغیرهای سراسری، برای ایجاد یک گردش کاری بین دو درخواست ارسالی، استفاده کردیم. در این قسمت میخواهیم با انواع متغیرهای قابل تعریف در Postman آشنا شویم.
متغیرهای سراسری در Postman
برای تعریف متغیرهای سراسری که در تمام برگههای Postman قابل دسترسی باشند، میتوان از متد pm.globals.set در قسمت Tests هر درخواست که پس از پایان درخواست جاری اجرا میشود، استفاده کرد. دراینجا فرصت خواهیم داشت تا مقدار دریافتی از سرور را در یک متغیر ذخیره کنیم. سپس میتوان از این متغیر، در حین ارسال درخواستی دیگر، استفاده کرد که نمونهای از آنرا در قسمت دوم، با تبدیل شیء response به یک شیء جاوا اسکریپتی و استخراج خاصیت uuid آن، مشاهده کردید:
روش دیگر تعریف متغیرهای سراسری، تعریف دستی آنها است. در اینجا با میتوان با کلیک بر روی دکمهای با آیکن چشم، در بالای سمت راست صفحه، گزینهی Edit مخصوص Global variables را انتخاب کرد:
که سبب باز شدن صفحهی دیالوگ زیر میشود که در آن میتوان کلید/مقدارهای جدیدی را به صورت دستی و بدون کدنویسی، تعریف و مقدار دهی کرد:
یکی از کاربردهای مهم متغیرهای سراسری، دریافت توکنهای دسترسی پس از لاگین، در یک درخواست و استفادهی از این توکنها در درخواستهای دیگر میباشد.
روش استفادهی از متغیرهای تعریف شده
پس از تعریف این متغیرها، برای دسترسی به آنها میتوان از روش {{variableName}} در قسمتهای مختلف postman استفاده کرد:
در اینجا سه مثال را در مورد امکان استفادهی از متغیرها، در حین ساخت URLها، اجزای هدرها و یا بدنهی درخواست ارسالی به سمت سرور، مشاهده میکنید.
متغیرهای محیطی در Postman
متغیرهای محیطی نیز بسیار شبیه به متغیرهای سراسری هستند، اما میدان دید آنها کمتر است. برای مثال فرض کنید که قصد دارید اطلاعات پایهی تنظیمات سرور و پورت آنها را در بین درخواستهای مختلف تغییر دهید؛ بدون اینکه بخواهید اصل درخواستها تغییری کنند؛ یا اینکه قسمت تعریف متغیرهای سراسری بیش از حد شلوغ شدهاست و قصد دارید آنها را گروه بندی کرده و مورد استفاده قرار دهید.
در ابتدای کار، هیچ محیط خاصی تعریف نشدهاست:
برای تعریف یک محیط جدید میتوان بر روی دکمهای با آیکن چشم، در بالای سمت راست صفحه و کلیک بر روی گزینهی Add آن، یک محیط جدید را ایجاد کرد:
در صفحهی باز شده ابتدا باید نامی را برای این محیط جدید انتخاب کرد و سپس میتوان key/valueهایی را مخصوص این محیط، تعریف نمود:
برای ویرایش اطلاعات منتسب به یک محیط، ابتدا باید آنرا از dropdown محیطهای بالای صفحه انتخاب کرد. اکنون با کلیک بر روی دکمهای با آیکن چشم، در بالای سمت راست صفحه، لینک ویرایش این محیط انتخاب شده ظاهر میشود:
API کار با متغیرهای محیطی از طریق کد نویسی
تفاوت میدان دید متغیرهای محیطی و متغیرهای سراسری
باید دقت داشت که هر دوی متغیرهای سراسری و محیطی، در تمام برگههای تعریف شده قابل دسترسی میباشند و از این لحاظ تفاوتی بین آنها نیست. اما فرض کنید یک متغیر سراسری را با نام port1 تعریف کردهاید و از آن برای ساخت آدرسی مانند https://localhost:{{port1}} استفاده کردهاید. همچنین دقیقا همین متغیر port1 را در محیط جدیدی به نام Env1 نیز تعریف کردهاید. اگر محیطی انتخاب نشده باشد، port1 به همان متغیر سراسری تعریف شده اشاره میکند.
اما اگر محیط انتخابی را به Env1 تغییر دهیم، اینبار port1، از طریق اطلاعات Env1 تامین شده و مقدار متغیر سراسری تعریف شده را بازنویسی (یا مخفی) میکند. بنابراین در حین کارکردن با محیطی مشخص، متغیرهای محیطی، بر متغیرهای سراسری مقدم هستند.
یک نکته: با نزدیک کردن اشارهگر ماوس، به یک متغیر تعریف شدهی در postman، میتوان میدان دید آنرا به سادگی مشاهده کرد و در این حالت دیگر جای حدس و گمانی باقی نمیماند.
عدم انتشار مقادیر اولیهی حساس، در حین گرفتن خروجیها
اگر به تصاویر فوق دقت کنید، حین تنظیم مقادیر متغیرها، ستون اول، initial value نام دارد و ستون دوم، current value. هنگام گرفتن خروجی از یک مجموعهی Postman، تنها این مقدار اولیه در خروجی وجود خواهد داشت و با دیگران به اشتراک گذاشته میشود. مقدار جاری همانی است که در حین ارسال درخواستها مورد استفاده قرار میگیرد. بنابراین تنها کاربرد initial value، در تهیهی خروجیها است که در انتهای قسمت سوم آنرا بررسی کردیم.
مشکل اینجا است که اگر از متدهای به روز رسانی مقادیر متغیرها استفاده کنیم، هر دو مقدار را تغییر میدهند که ممکن است علاقمند نباشید آنها را به اشتراک بگذارید. برای رفع این مشکل میتوان به منوی File->Settings آن مراجعه و گزینهی Automatically persist variable values را خاموش کرد:
با اینکار تغییر current value توسط متدهای API، سبب تغییر initial value که در exports ظاهر میشوند، نخواهد شد.
متغیرهای سراسری در Postman
برای تعریف متغیرهای سراسری که در تمام برگههای Postman قابل دسترسی باشند، میتوان از متد pm.globals.set در قسمت Tests هر درخواست که پس از پایان درخواست جاری اجرا میشود، استفاده کرد. دراینجا فرصت خواهیم داشت تا مقدار دریافتی از سرور را در یک متغیر ذخیره کنیم. سپس میتوان از این متغیر، در حین ارسال درخواستی دیگر، استفاده کرد که نمونهای از آنرا در قسمت دوم، با تبدیل شیء response به یک شیء جاوا اسکریپتی و استخراج خاصیت uuid آن، مشاهده کردید:
let jsonResponse = pm.response.json();
pm.globals.set("uuid", jsonResponse.uuid); 
که سبب باز شدن صفحهی دیالوگ زیر میشود که در آن میتوان کلید/مقدارهای جدیدی را به صورت دستی و بدون کدنویسی، تعریف و مقدار دهی کرد:
برای کار با متغیرهای سراسری، 4 متد زیر در Postman قابل استفاده هستند:
|
عملکرد | متد |
| تعریف و مقدار دهی یک متغیر سراسری | pm.globals.set("varName", "VALUE"); |
| دریافت مقدار یک متغیر سراسری | pm.globals.get("varName"); |
| پاک کردن یک متغیر سراسری مشخص | pm.globals.unset("varName"); |
| حذف تمام متغیرهای سراسری | pm.globals.clear(); |
یکی از کاربردهای مهم متغیرهای سراسری، دریافت توکنهای دسترسی پس از لاگین، در یک درخواست و استفادهی از این توکنها در درخواستهای دیگر میباشد.
روش استفادهی از متغیرهای تعریف شده
پس از تعریف این متغیرها، برای دسترسی به آنها میتوان از روش {{variableName}} در قسمتهای مختلف postman استفاده کرد:
Request URL: http://{{domain}}/users/{{userId}}
Headers (key:value): X-{{myHeaderName}}:foo
Request body: {"id": "{{userId}}", "name": "John Doe"} متغیرهای محیطی در Postman
متغیرهای محیطی نیز بسیار شبیه به متغیرهای سراسری هستند، اما میدان دید آنها کمتر است. برای مثال فرض کنید که قصد دارید اطلاعات پایهی تنظیمات سرور و پورت آنها را در بین درخواستهای مختلف تغییر دهید؛ بدون اینکه بخواهید اصل درخواستها تغییری کنند؛ یا اینکه قسمت تعریف متغیرهای سراسری بیش از حد شلوغ شدهاست و قصد دارید آنها را گروه بندی کرده و مورد استفاده قرار دهید.
در ابتدای کار، هیچ محیط خاصی تعریف نشدهاست:
برای تعریف یک محیط جدید میتوان بر روی دکمهای با آیکن چشم، در بالای سمت راست صفحه و کلیک بر روی گزینهی Add آن، یک محیط جدید را ایجاد کرد:
در صفحهی باز شده ابتدا باید نامی را برای این محیط جدید انتخاب کرد و سپس میتوان key/valueهایی را مخصوص این محیط، تعریف نمود:
برای ویرایش اطلاعات منتسب به یک محیط، ابتدا باید آنرا از dropdown محیطهای بالای صفحه انتخاب کرد. اکنون با کلیک بر روی دکمهای با آیکن چشم، در بالای سمت راست صفحه، لینک ویرایش این محیط انتخاب شده ظاهر میشود:
API کار با متغیرهای محیطی از طریق کد نویسی
API دسترسی به متغیرهای محیطی، بسیار شبیه به متغیرهای سراسری است:
| عملکرد | متد |
| تعریف و مقدار دهی یک متغیر محیطی | pm.environment.set("varName", "VALUE"); |
| دریافت مقدار یک متغیر محیطی | pm.environment.get("varName"); |
| پاک کردن یک متغیر محیطی مشخص | pm.environment.unset("varName"); |
| حذف تمام متغیرهای محیطی | pm.environment.clear(); |
تفاوت میدان دید متغیرهای محیطی و متغیرهای سراسری
باید دقت داشت که هر دوی متغیرهای سراسری و محیطی، در تمام برگههای تعریف شده قابل دسترسی میباشند و از این لحاظ تفاوتی بین آنها نیست. اما فرض کنید یک متغیر سراسری را با نام port1 تعریف کردهاید و از آن برای ساخت آدرسی مانند https://localhost:{{port1}} استفاده کردهاید. همچنین دقیقا همین متغیر port1 را در محیط جدیدی به نام Env1 نیز تعریف کردهاید. اگر محیطی انتخاب نشده باشد، port1 به همان متغیر سراسری تعریف شده اشاره میکند.
اما اگر محیط انتخابی را به Env1 تغییر دهیم، اینبار port1، از طریق اطلاعات Env1 تامین شده و مقدار متغیر سراسری تعریف شده را بازنویسی (یا مخفی) میکند. بنابراین در حین کارکردن با محیطی مشخص، متغیرهای محیطی، بر متغیرهای سراسری مقدم هستند.
یک نکته: با نزدیک کردن اشارهگر ماوس، به یک متغیر تعریف شدهی در postman، میتوان میدان دید آنرا به سادگی مشاهده کرد و در این حالت دیگر جای حدس و گمانی باقی نمیماند.
عدم انتشار مقادیر اولیهی حساس، در حین گرفتن خروجیها
اگر به تصاویر فوق دقت کنید، حین تنظیم مقادیر متغیرها، ستون اول، initial value نام دارد و ستون دوم، current value. هنگام گرفتن خروجی از یک مجموعهی Postman، تنها این مقدار اولیه در خروجی وجود خواهد داشت و با دیگران به اشتراک گذاشته میشود. مقدار جاری همانی است که در حین ارسال درخواستها مورد استفاده قرار میگیرد. بنابراین تنها کاربرد initial value، در تهیهی خروجیها است که در انتهای قسمت سوم آنرا بررسی کردیم.
مشکل اینجا است که اگر از متدهای به روز رسانی مقادیر متغیرها استفاده کنیم، هر دو مقدار را تغییر میدهند که ممکن است علاقمند نباشید آنها را به اشتراک بگذارید. برای رفع این مشکل میتوان به منوی File->Settings آن مراجعه و گزینهی Automatically persist variable values را خاموش کرد:
با اینکار تغییر current value توسط متدهای API، سبب تغییر initial value که در exports ظاهر میشوند، نخواهد شد.
اطلاعات IPهای بسته شده توسط خود این ماژول لاگ میشود. چه چیزی را در لاگ مشاهده میکنید؟ یک قسمت آن reason هست یا دلیل بسته شدن. این لاگها را در کنسول میتوانید مشاهده کنید. برنامهی ASP.NET Core خود را با دستور dotnet run اجرا و لاگهای کنسول آنرا بررسی کنید.
با سلام و تشکر. آیا مقاله ای در مورد اینکه چطور این پروژه را در یک هاست ، قراردهیم و اصطلاحا بارگذاری نماییم وجود دارد؟ مشکل من این است که بعد از بارگذاری این مثال روی هاست (ایران هاست) این کارها را انجام دادم:
1. ساخت پایگاه داده در هاست
2. ساخت کاربر پایگاه داده در هاست
3. اصلاح کانکشن استرینگ در قسمت مربوطه در فایل appsettings.json
4. چک کردن اتصال به سرور توسط خود محیط SQL-Server management studio
5. پابلیش سایت
6. بارگذاری فایلهای پابلیش شده، روی هاست
در اینجا انتظار داشتم که سایت از طریق هاست بیاد بالا
ولی 403.14 میده.
ممنون میشم اگه کمک بفرمایید.
ممنون. من که دیگه قید Stimul رو زدم و از این به بعد از این کتابخانه ارزشمند شما استفاده میکنم. چون تمام کارایی که من با Stimul انجام میدادم، با این کتابخانه هم میشه انجام داد (حتی در خیلی از موارد مثل جمع صفحه و نقل از صفحه قبل و ... راحتتر از Stimul).
بینهایت سپاسگذارم.
- خارج از این قصد تهیه هیچ نوع مثال دیگری را ندارم.
مدتی قبل سؤال مهمی در سایت مطرح شد، به شرح زیر:
«من از کنترلهای تلریک استفاده میکنم که یک سری اسکریپت را بصورت
http://localhost:1244/WebResource.axd?d=aklE6L8AEfPEgIS3T-oXc6mevPfbpi6VRp_ZTP2nBVrnt5ULOFYD3GNWRrDHwANC3VDQlL8dLAa5g35dzgHyuzAgAguIpYrf-_NXIJwNNu0YRSnH3-MgKMfnwKBKF_Lk2E5oeIcLL78uDlQ0se_GxQ2&t=635231470568640000
به فرم تزریق میکند و بعضی وقتها داخلش xp و یا یک سری دستورات اسکیوال تولید میشوند. در این حالت این مسیرها توسط ISA Server در شبکه داخلی حمله تشخیص داده شده و بلاک خواهند شد و عملا برنامه از کار میافتد. آیا راهی برای خلاصی از دست آنها هست؟»
پاسخ: بلی. از دات نت 3 و نیم به بعد، امکان جایگزینی کامل اسکریپتهای خودکار مدفون شده در اسمبلیها با فایلهای استاتیک پیش بینی شدهاست که در ادامه نحوهی استخراج و کار با آنها را بررسی خواهیم کرد.
الف) یافتن اسکریپتهای مدفون در اسمبلیها
در ابتدا اسمبلی حاوی کنترلهای وب فرم مدنظر خود را باید توسط برنامههای Reflector یا ILSpy و امثال آنها گشوده و نام دقیق منبع و همچنین محتوای آن فایل اسکریپت را استخراج کنید. برای مثال:
در این تصویر، اسمبلی استاندارد System.Web.Extensions مورد بررسی قرار گرفته است. برای نمونه اگر بخواهید اسکریپتهای متناظر با ScriptManager و UpdatePanel را با معادلهای استاتیک آنها جایگزین کنید، باید دو فایل MicrosoftAjaxWebForms.js و MicrosoftAjax.js را از این اسمبلی استخراج نمائید. (برنامههای یاد شده امکان ذخیره سازی منابع را نیز میدهند)
ب) وادار کردن ASP.NET به استفاده از نسخهی استاتیک منابع
فرض کنید دو اسکریپت یاد شده را در فایلهای staticJS1.js و staticJS2.js در ریشهی سایت خود ذخیره کردهاید. اکنون یک ScriptManager را به صفحه اضافه کرده و مطابق کدهای فوق، اسکریپتهای مدفون شده در اسمبلی System.Web.Extensions را به این فایلهای استاتیک هدایت کنید. همانطور که عنوان شد نام این مداخل باید دقیقا با نام موجود در اسمبلی یکی باشد؛ در غیر اینصورت با خطای ذیل مواجه خواهید شد:
اکنون اگر برنامه را اجرا کنید (با فرض قرار داشتن یک ScriptManager و UpdatePanel در صفحه)، اینبار دیگر در سورس صفحه، شاهد آدرسهای طولانی WebResource.axd و ScriptResource.axd نخواهید بود. به صورت خودکار از دو فایل استاتیک تنظیم شده، استفاده میشود:
بدیهی است در صورت نیاز، باید تعاریف سایر اسکریپتهای مدفون در اسمبلی یاد شده یا اسمبلی System.Web را نیز به صفحه از طریق ScriptManager اضافه کرد. در مورد کنترلهای ثالث نیز وضع به همین صورت است و استاندارد آن تفاوتی نمیکند.
یک نکتهی تکمیلی
در مطلب «ASP.NET 4.5 ScriptManager Improvements in WebForms » مشاهده خواهید کرد که از ASP.NET 4.5 به بعد، طی دو بستهی نیوگت که هر از چندگاهی به روز میشوند، کلیه اسکریپتهای System.Web و System.Web.Extensions خارج از این اسمبلیها نیز قابل دریافت بوده و با استفاده از سیستم bunding & minification میتوان آنها را فشرده و یکی کرد.
«من از کنترلهای تلریک استفاده میکنم که یک سری اسکریپت را بصورت
http://localhost:1244/WebResource.axd?d=aklE6L8AEfPEgIS3T-oXc6mevPfbpi6VRp_ZTP2nBVrnt5ULOFYD3GNWRrDHwANC3VDQlL8dLAa5g35dzgHyuzAgAguIpYrf-_NXIJwNNu0YRSnH3-MgKMfnwKBKF_Lk2E5oeIcLL78uDlQ0se_GxQ2&t=635231470568640000
به فرم تزریق میکند و بعضی وقتها داخلش xp و یا یک سری دستورات اسکیوال تولید میشوند. در این حالت این مسیرها توسط ISA Server در شبکه داخلی حمله تشخیص داده شده و بلاک خواهند شد و عملا برنامه از کار میافتد. آیا راهی برای خلاصی از دست آنها هست؟»
پاسخ: بلی. از دات نت 3 و نیم به بعد، امکان جایگزینی کامل اسکریپتهای خودکار مدفون شده در اسمبلیها با فایلهای استاتیک پیش بینی شدهاست که در ادامه نحوهی استخراج و کار با آنها را بررسی خواهیم کرد.
الف) یافتن اسکریپتهای مدفون در اسمبلیها
در ابتدا اسمبلی حاوی کنترلهای وب فرم مدنظر خود را باید توسط برنامههای Reflector یا ILSpy و امثال آنها گشوده و نام دقیق منبع و همچنین محتوای آن فایل اسکریپت را استخراج کنید. برای مثال:
در این تصویر، اسمبلی استاندارد System.Web.Extensions مورد بررسی قرار گرفته است. برای نمونه اگر بخواهید اسکریپتهای متناظر با ScriptManager و UpdatePanel را با معادلهای استاتیک آنها جایگزین کنید، باید دو فایل MicrosoftAjaxWebForms.js و MicrosoftAjax.js را از این اسمبلی استخراج نمائید. (برنامههای یاد شده امکان ذخیره سازی منابع را نیز میدهند)
ب) وادار کردن ASP.NET به استفاده از نسخهی استاتیک منابع
<asp:ScriptManager ID="Scriptmanager1" runat="server">
<Scripts>
<asp:ScriptReference Name="MicrosoftAjaxWebForms.js" Assembly="System.Web.Extensions"
Path="~/staticJS1.js" />
<asp:ScriptReference Name="MicrosoftAjax.js" Assembly="System.Web.Extensions" Path="~/staticJS2.js" />
</Scripts>
</asp:ScriptManager> The assembly 'System.Web.Extensions' does not contain a Web resource that has the name 'xyz.js'. Make sure that the resource name is spelled correctly. Make sure that the application references the correct version of an ASP.NET AJAX Framework assembly.
<script src="staticJS1.js" type="text/javascript"></script> <script src="staticJS2.js" type="text/javascript"></script>
یک نکتهی تکمیلی
در مطلب «ASP.NET 4.5 ScriptManager Improvements in WebForms » مشاهده خواهید کرد که از ASP.NET 4.5 به بعد، طی دو بستهی نیوگت که هر از چندگاهی به روز میشوند، کلیه اسکریپتهای System.Web و System.Web.Extensions خارج از این اسمبلیها نیز قابل دریافت بوده و با استفاده از سیستم bunding & minification میتوان آنها را فشرده و یکی کرد.
مراحل ارتقاء پروژههای Angular از نگارش 6 به 7 آن به شرح زیر هستند:
1- به روز رسانی Angular CLI
ابتدا نیاز است نگارش قبلی را حذف و سپس نگارش جدید را نصب کنید:
npm uninstall -g @angular/cli npm cache verify # if npm version is < 5 then use `npm cache clean` npm install -g @angular/cli@latest
البته Angular 7 پشتیبانی از Node 10 را اضافه کرده است (بیشتر؛ دانلود Node). بنابراین پیش از اجرای دستورات فوق بهتر است NodeJS خود را نیز به روز کنید:
npm i -g npm
2- به روز رسانی RxJS (اگر در نگارش 6 آنرا تکمیل نکردهاید)
1-تعویض کردن HttpModule با HttpClientModule و سرویس Http با سرویس HttpClient 2-حذف کردن ویژگیهای منسوخ شده از RxJS 6 با اجرای دستور زیر:
npm install -g rxjs-tslint rxjs-5-to-6-migrate -p src/tsconfig.app.json
3-حذف rxjs-compat بعد از بروزرسانی RxJS 6
اطلاعات بیشتر: «ارتقاء به Angular 6: بررسی تغییرات RxJS»
3- به روز رسانی TypeScript
Angular 7 از تایپ اسکریپت 3.1 استفاده میکند (بیشتر). به همین جهت نیاز است وابستگیهای سراسری سیستم خود را مانند TypeScript، پس از نصب CLI جدید، به نحو زیر به روز کنید:
npm update -g
برای بهروز رسانی به نسخه 7 (core framework و CLI)، دستورات زیر را اجرا کنید:
ng update @angular/cli ng update @angular/core ng update rxjs
و اگر از Angular Material نیز استفاده میکنید، نیاز به اجرای دستور زیر را نیز خواهید داشت:
ng update @angular/material
و یا به صورت خلاصه دستور زیر تمام مراحل فوق را به صورت یکجا انجام میدهد:
ng update --all --force
اگر شما از Service worker مربوط به Angular استفاده میکنید، بجای versionedFiles از files استفاده کنید. رفتار همان است و تغییر نکردهاست.
6- به روز رسانی وابستگیهای ثالث پروژه
برای به روز رسانی سایر وابستگیهای پروژه، میتوان از بستهی npm-check-updates استفاده کرد:
npm install npm-check-updates -g ncu -u npm install
در پروژههای بزرگ نرم افزاری، از قدیم بحث تامین امنیت پروژه، یکی از چالشهای مهم بوده است. از دیدگاه شخصی بنده، یک مدیر نرم افزار یا حتی یک توسعه دهندهی برنامههای تحت وب، لازم است علاوه بر صرف وقت مطالعاتی و آشنایی و تسلط بر مباحث طراحی معماری سیستمهای تحت وب، که از اهمیت بالا و مقیاس بزرگی برخوردارند آشنایی لازم را با چالشهای امنیتی در پیاده سازی اینگونه سیستمها داشته باشد. امنیت در یک سیستم بزرگ و ارائه دهنده خدمات، باعث میشود تا کاربر علاوه بر یک تجربه کاربری (user experience) خوب از سیستم که حاصل پیاده سازی صحیح سیستم میباشد، اعتماد ویژهای به سیستم مذکور داشته باشد. گاها کاربران به علت بی اعتمادی به شرایط امنیتی حاکم بر یک سیستم، از تجربه کاربری خوب یک سیستم چشم پوشی میکنند. اهمیت این مسئله تا جاییست که غولهای تکنولوژی دنیا همچون Google درگیر این چالش میباشند و همیشه سعی بر تامین امنیت کاربران علاوه بر ایجاد تجربه کاربری خوب دارند. پس عدم توجه به این موضوع میتواند خسارات وارده جبران ناپذیری را به یک سیستم از جهتهای مختلف وارد کند.
این کتابخانه مجموعهای از توابع کد کردن عبارات است که از
مواردی همچون Html, XML, Url, Form,
LDAP, CSS, JScript and VBScript پشتیبانی میکند. استفاده از آن بسیار ساده میباشد. کافیست ارجاعات لازم را به پروژه خود افزوده
و به شکل زیر از توابع ارائه شده توسط این کتابخانه استفاده کنید:
در این سری از مقالات، بنده سعی دارم تا حد توان در رابطه با چالشهای امنیتی موجود در زمینه توسعه برنامههای تحت وب، مطالبی را منتشر کنم. از این رو امیدوارم تا این سری از مقالات برای دوستان مفید واقع گردد.
در این سری از مقالات چالشهای امنیتی زیر مورد بحث و بررسی واقع خواهند گردید
XSS , LDAPi ,RFI ,LFI ,SQLi ,RFD ,LFD ,SOF ,BSQLI ,DNN ,BOF ,CRLF ,CSRF ,SSI ,PCI ,SCD ,AFD ,RCE
در بخش اول از این سری مقالات ، به بررسی آسیب پذیری Cross-site scripting میپردازیم .
واژه XSS مخفف Cross-site scripting، نوعی از آسیب پذیریست که در برنامههای تحت وب نمود پیدا میکند. به طور کلی و خلاصه، این آسیب پذیری به فرد نفوذ کننده اجازه تزریق اسکریپتهایی را به صفحات وب، میدهد که در سمت کاربر اجرا میشوند ( Client Side scripts ) . در نهایت این اسکریپتها توسط سایر افرادی که از صفحات مورد هدف قرار گرفته بازدید میکنند اجرا خواهد شد.
هدف از این نوع حمله :
بدست آوردن اطلاعات کوکیها و سشنهای کاربران ( مرتبط با آدرسی که صفحه آلوده شده در آن قرار دارد ) است. سپس فرد نفوذ کننده متناسب با اطلاعات بدست آمده میتواند به اکانت شخصی کاربران مورد هدف قرار گرفته، نفوذ کرده و از اطلاعات شخصی آنها سوء استفاده کند .
به صورت کلی دو طبقه بندی برای انواع حملات Cross-site scripting وجود دارند.
حملات XSS ذخیره سازی شده ( Stored XSS Attacks ) :
در این نوع ، کدهای مخرب تزریق شده، در سرور سایت قربانی ذخیره میشوند. محل ذخیره سازی میتواند دیتابیس سایت یا هر جای دیگری که دادهها توسط سایت یا برنامه تحت وب بازیابی میشوند و نمایش داده میشوند باشد. اما اینکه چگونه کدهای مخرب در منابع یاد شده ذخیره میشوند؟
فرض کنید در سایت جاری آسیب پذیری مذکور وجود دارد. راههای ارسال دادهها به این سایت چیست؟ نویسندگان میتوانند مطلب ارسال کنند و کاربران میتوانند نظر دهند. حال اگر در یکی از این دو بخش بررسیهای لازم جهت مقابله با این آسیب پذیری وجود نداشته باشد و نوشتههای کاربران که میتواند شامل کدهای مخرب باشد مستقیما در دیتابیس ذخیره شده و بدون هیچ اعتبار سنجی نمایش داده شود چه اتفاقی رخ خواهد داد؟ مسلما با بازدید صفحه آلوده شده، کدهای مخرب بر روی مرورگر شما اجرا و کوکیهای سایت جاری که متعلق به شما هستند برای هکر ارسال میشود و ...
حملات XSS منعکس شده ( Reflected XSS Attacks ) :
در این نوع از حمله، هیچ نوع کد مخربی در منابع ذخیره سازی وبسایت یا اپلیکیشن تحت وب توسط فرد مهاجم ذخیره نمیشود ! بلکه از ضعف امنیتی بخشهایی همچون بخش جستجو وب سایت، بخشهای نمایش پیغام خطا و ... استفاده میشود ... اما به چه صورت؟
در بسیاری از سایتها، انجمنها و سیستمهای سازمانی تحت وب، مشاهده میشود که مثلا در بخش جستجو، یک فیلد برای وارد کردن عبارت جستجو وجود دارد. پس از وارد کردن عبارت جستجو و submit فرم، علاوه بر نمایش نتایج جستجو، عبارت جستجو شده نیز به نمایش گذاشته میشود و بعضا در بسیاری از سیستمها این عبارت قبل از نمایش اعتبار سنجی نمیشود که آیا شامل کدهای مخرب میباشد یا خیر. همین امر سبب میشود تا اگر عبارت جستجو شامل کدهای مخرب باشد، آنها به همراه نتیجهی جستجو اجرا شوند.
اما این موضوع چگونه مورد سوء استفاده قرار خواهد گرفت؟ مگر نه اینکه این عبارت ذخیره نمیشود پس با توضیحات فوق، کد فقط بر روی سیستم مهاجم که کد جستجو را ایجاد میکند اجرا میشود، درست است؟ بله درست است ولی به نقطه ضعف زیر توجه کنید ؟
www.test.com/search?q=PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpOzwvc2NyaXB0Pg==
این آدرس حاصل submit شدن فرم جستجو وبسایت test (نام وبسایت واقعی نیست و برای مثال است ) و ارجاع به صفحه نتایج جستجو میباشد. در واقع این لینک برای جستجوی یک کلمه یا عبارت توسط این وبسایت تولید شده و از هر کجا به این لینک مراجعه کنید عبارت مورد نظر مورد جستجو واقع خواهد شد. در واقع عبارت جستجو به صورت Base64 به عنوان یک query String به وبسایت ارسال میشود؛ علاوه بر نمایش نتایج، عبارت جستجو شده نیز به کاربر نشان داده شده و اگر آسیب پذیری مورد بحث وجود داشته باشد و عبارت شامل کدهای مخرب باشد، کدهای مخرب بر روی مرورگر فردی که این لینک را باز کرده اجرا خواهد شد!
در این صورت کافیست فرد مهاجم لینک مخرب را به هر شکلی به فرد مورد هدف بدهد ( مثلا ایمیل و ... ). حال در صورتیکه فرد لینک را باز کند (با توجه به اینکه لینک مربوط به یک سایت معروف است و عدم آگاهی کاربر از آسیب پذیری موجود در لینک، باعث باز کردن لینک توسط کاربر میشود)، کدها بر روی مرورگرش اجرا شده و کوکیهای سایت مذکور برای مهاجم ارسال خواهد شد ... به این نوع حمله XSS ، نوع انعکاسی میگویند که کاملا از توضیحات فوق الذکر، دلیل این نامگذاری مشخص میباشد.
اهمیت مقابله با این حمله :
برای نمونه این نوع باگ حتی تا سال گذشته در سرویس ایمیل یاهو وجود داشت. به شکلی که یکی از افراد انجمن hackforums به صورت Private این باگ را به عنوان Yahoo 0-Day XSS Exploit در محیط زیر زمینی و بازار سیاه هکرها به مبلغ چند صد هزار دلار به فروش میرساند. کاربران مورد هدف کافی بود تا فقط یک ایمیل دریافتی از هکر را باز کنند تا کوکیهای سایت یاهو برای هکر ارسال شده و دسترسی ایمیلهای فرد قربانی برای هکر فراهم شود ... ( در حال حاظر این باگ در یاهو وجو ندارد ).
چگونگی جلوگیری از این آسیب پذیری
در این سری از مقالات کدهای پیرامون سرفصلها و مثالها با ASP.net تحت فریم ورک MVC و به زبان C# خواهند بود. هر چند کلیات مقابله با آسیب پذیری هایی از این دست در تمامی زبانها و تکنولوژیهای تحت وب یکسان میباشند.
خوشبختانه کتابخانهای قدرتمند برای مقابله با حمله مورد بحث وجود دارد با نام AntiXSS که میتوانید آخرین نسخه آن را با فرمان زیر از طریق nugget به پروژه خود اضافه کنید. البته ذکر این نکته حائز اهمیت است که Asp.net و فریم ورک MVC به صورت توکار تا حدودی از بروز این حملات جلوگیری میکند. برای مثال به این صورت که در View ها شما تا زمانی که از MvcHtmlString استفاده نکنید تمامی محتوای مورد نظر برای نمایش به صورت Encode شده رندر میشوند. این داستان برای Url ها هم که به صورت پیش فرض encode میشوند صدق میکند. ولی گاها وقتی شما برای ورود اطلاعات مثلا از یک ادیتور WYSWYG استفاده میکنید و نیاز دارید دادهها را بدون encoding رندر کنید. آنگاه به ناچار مجاب بر اعمال یک سری سیاستهای خاصتر بر روی داده مورد نظر برای رندر میشوید و نمیتوانید از encoding توکار فوق الذکر استفاده کنید. آنگاه این کتابخانه در اعمال سیاستهای جلوگیری از بروز این آسیب پذیری میتواند برای شما مفید واقع شود.
PM> Install-Package AntiXSS
… var reviewContent = model.UserReview; reviewContent = Microsoft.Security.Application.Encoder.HtmlEncode(review); …
امیدوارم در اولین بخش از این سری مقالات، به صورت خلاصه مطالب مهمی که باعث ایجاد فهم کلی در رابطه با حملات Xss وجود دارد، برای دوستان روشن شده و پیش زمینه فکری برای مقابله با این دست از حملات برایتان به وجود آمده باشد.