به این لیست قطعا باید سایت جاری هم اضافه کرد.
طی مقاله چک لیست تولید برنامه Asp.net mvc و بررسی امنیتی ایجکس هنگام استفاده در مورد چک لیست امنیتی
سایت سرفصلهای مهم عنوان و بررسی شده است که یکی از موارد، مقاوم ساختن وب اپلیکشن در برابر حملات CSRF میباشد. اینگونه حملات بر پایه این استراتژی شکل میگیرند که با
ارسال درخواستی به نیابت از سمت سیستم/مرورگر کاربر تایید هویت شده، سایت مقصد را مجبور
به انجام عملی کند. برای مثال اگر شما در سایت a.com یک
کاربر تایید شده باشید و هم اکنون در سایت فوق نیز لاگین باشید، مهاجم با ارسال یک برنامه/صفحه یا موارد مشابه و در قالب src یک
عکس یا با ترغیب شما با کلیک بر روی یک لینک با href آلوده یا موارد
مشابه، از سمت مرورگر شما درخواستی را به سمت سایت a.com ارسال میکند .
این درخواست ممکن است شامل حذف اطلاعات، تغییر مشخصات، پرداخت هزینه یا موارد مشابه باشد. جهت مقابله با این حمله، یکی از موارد مهم، استفاده همیشگی از Html.AntiForgeryToken() در تمامی فرمهای ورود اطلاعات است. همچنین استفاده همیشگی از متد Post و بررسی تایید مبدا درخواستهای ایجکسی، بررسی http referrer ، محدود کردن طول عمر کوکی، استفاده از کپچهای قوی مانند کپچای گوگل میتواند تا حد زیادی وب اپلیکیشن را در مورد اینگونه حملات، مصون کند.
در این بین یکی از موارد دیگر، اضافه کردن AntiForgeryToken به درخواستهای ایجکسی سایت میباشد. جهت حصول این منظور، راههای مختلفی موجود است. یکی از راه حلها استفاده از یک هلپر جهت تولید توکن مورد نظر است.
ساختار
هلپر مورد نظر به شرح زیر است :
public static class AntiForgeryToken
{
public static MvcHtmlString AntiForgeryTokenForAjaxPost(this HtmlHelper helper)
{
var antiForgeryInputTag = helper.AntiForgeryToken().ToString();
// Above gets the following: <input name="__RequestVerificationToken" type="hidden" value="some value" />
var removedStart = antiForgeryInputTag.Replace(@"<input name=""__RequestVerificationToken"" type=""hidden"" value=""", "");
var tokenValue = removedStart.Replace(@""" />", "");
if (antiForgeryInputTag == removedStart || removedStart == tokenValue)
throw new InvalidOperationException("Oops! The Html.AntiForgeryToken() method seems to return something I did not expect.");
return new MvcHtmlString($@"{"__RequestVerificationToken"}:""{tokenValue}""");
}
} در مرحله بعد طبق الگوی زیر، درخواست ایجکسی به همراه توکن تولید شده و به کنترلر ارسال خواهد شد:
function AddToCart(pid) {
$.ajax({
url: '@Url.Action("AddToBasket","Shop")',
data: { 'pid': pid,@Html.AntiForgeryTokenForAjaxPost() },
type: 'post',
success:function(e) {
//do something
}
});
} در مرحله آخر، باید کنترلر مورد نظر شامل ویژگیهای [HttpPost] [ValidateAntiForgeryToken] باشد تا صحت توکن تولیدی را بررسی کند و در صورت نامعتبر بودن، از اجرای دستورات جلوگیری گردد.
همانطوری که میدونید نسخه
MVC 4 RC در دسترس قرار گرفته و خالی از لطف نیست که یک بررسی درباره امکانات جدیدش انجام بشه.ابتدا سعی میکنم یک لیست کلی از امکانان این تکنولوژی داشته باشیم و بعد نگاهی هم به Razor و تغییراتش خواهیم داشت.
ASP.NET Web API
Refreshed and modernized default project templates
New mobile project template
Many new features to support mobile apps
Recipes to customize code generation
Enhanced support for asynchronous methods
لیست فوق شامل برترین ویژگیهای این نسخه است که در پستهای آینده هر کدام از اینها بررسی خواهند شد.
تغییرات Razor
Razor از نسخه MVC4 Beta شاهد تغییرات و بهبود هایی بود که این تغییرات بنیادی و رادیکالی نبودند و فقط درجهت بهبود حس کاربری آن صورت گرفت. این حس از آن جهت است که شما نیاز به نوشتن کد کمتری دارید.
استفاده نکردن از Url.Content@
در نسخه قبلی از امکان ذکر شده برای مشخص کرده مسیرهای CSS و فایلهای .JS هم استفاده میشد حالا بجای استفاده از آن میشود:
در نسخههای قبلی:
در نسخه 4:
<script src="@Url.Content("~/Scripts/Site.js")"></script>
<script src="~/Scripts/Site.js"></script>
زمانی که Razor حرف را ~/ تشخیص میدهد خروجی یکسانی با حالت قبلی برای ما درست میکند.
شرط ها(Conditions)
در نسخه قبلی برای استفاده از attribute ها که ممکن بود Null باشند مجبور به چک کردن آنها بودیم:
<div @{if (myClass != null) { <text>class="@myClass"</text> } }>Content</div>
اما حالا با خیال راحت میتوان نوشت:
<div class="@myClass">Content</div>
که اگر attribute ما null باشد به صورت اتوماتیک تشخیص داده میشود و کد زیر رندر میشود
<div>Content</div>
در ضمناً کد بالا فقط مربوط به چک کردن Nullable نیست و از آن میتوان در Booleanها هم استفاده کرد.
<input checked="@ViewBag.Checked" type="checkbox"/>
که اگر مقدار True نباشد:
<input type="checkbox"/>
بطور خلاصه میشه گفت MVC4 تغییراتش نسبت به نسخه قبلی تو خیلی از زمینهها مربوط میشه بهبود ابزارهای موجود در کل کار با این ایزار بسیار برای من لذت بخشه.
ادامه دارد...
در این مقاله موضوعی را مطرح خواهم کرد که شاید برای خیلیها این نوع کد نویسی خوشایند نباشد. حتی برای خود من هم خوشایند نیست؛ ولی نهایتا در بهبود Performance تاثیر خیلی زیادی دارد. به کد زیر دقت کنید.
توضیح کد: فرض کنید سناریوی پروژه ما به این صورت هست که ما یک لیست داریم، شامل 3 فیلد که header، title و footer را در تنظیمات میتوانیم مشخص کنیم که header و footer در شرایطی نمایش داده شود و در شرایطی نمایش داده نشود و یا حالتهای دیگر.
درست است من هم با شما موافق هستم که خوشایند نیست. در این کد ما همهی حالتها را پیش بینی و قالب مناسب هر شرط را درست کردهایم. حجم کد چند برابر شده، ولی از لحاظ Performance در ساخت لیست در View در حد 98% بهبود پیدا کردهاست. همان مثال قبلی را در نظر بگیرید. ng-if مربوط به header و footer در این کد فقط 4 بار بررسی میشود. چه 100 رکورد باشد، چه 1000 تا، چه 10 تا رکورد.
<div ng-repeat="item in items">
<div ng-if="setting.header">{{item.header}}</div>
<div>{{item.title}}</div>
<div ng-if="setting.footer">{{item.footer}}</div>
</div> خوب مشکل چیست و راهکار چیست؟
فرض کنید لیست ما شامل 100 رکورد هست و در تنظیمات مشخص کردهایم که header نمایش داده شود و footer نمایش داده نشود. اما اتفاقی بدی که میفتد این است که وقتی لیست در View ساخته میشود، 100 بار ng-if مربوط به header و footer چک میشود؛ در جمع 200 بار میشود. چه این مقادیر true باشند چه false فرقی نمیکند و 200 بار بررسی میشود.
راهکار این مشکل به این صورت است که ما باید از ng-if داخل ng-repeat استفاده نکنیم. اما برای پیاده سازی تنظیمات باید ng-ifها را قبل از ng-repeat بررسی کنیم. پس مسلما ng-repeatها باید قالب پیش بینی کرده ما را نسبت به ng-ifها درست کند. نتیجهی کار به صورت کد زیر است که شاید برای شما هم خوشایند نباشد:
<div ng-if="setting.header && setting.footer">
<div ng-repeat="item in items">
<div>{{item.header}}</div>
<div>{{item.title}}</div>
<div>{{item.footer}}</div>
</div>
</div>
<div ng-if="setting.header && setting.footer==false">
<div ng-repeat="item in items">
<div>{{item.header}}</div>
<div>{{item.title}}</div>
</div>
</div>
<div ng-if="setting.header==false && setting.footer">
<div ng-repeat="item in items">
<div>{{item.title}}</div>
<div>{{item.footer}}</div>
</div>
</div>
<div ng-if="setting.header==false && setting.footer==false">
<div ng-repeat="item in items">
<div>{{item.title}}</div>
</div>
</div> در مورد ng-repeatها هم نگران نباشید فقط یک بار اجرا میشوند. اگر کارکرد ng-if را در مقالهی قبلی من ، خوانده باشید، متوجهی این موضوع میشوید که elementهای داخلی و directionهای AngularJS داخلی ng-if زمانی پردازش میشوند که شرط true باشد. از این روش زمانی استفاده کنید که تعداد دادهها و حالتهای زیادی دارید و Performance اهمیت بیشتری دارد. امیدوارم مقالهی مفیدی باشد.
ساخت و حذف پایگاه داده در MongoDB
دستور Use
در MongoDB از دستور use DATABASE_NAME برای ساخت پایگاه داده استفاده میشود. این دستور یک پایگاه داده جدید را ایجاد میکند و اگر از قبل موجود باشد، یک پایگاه داده موجود را برمی گرداند.
گرامر (Syntax):
گرامر پایه عبارت use DATABASE به شکل زیر است:
use DATABASE_NAME
مثال:
اگر میخواهید یک پایگاه داده را با نام <mydb> بسازید، عبارت use DATABASE به شکل زیر در میآید:
>use mydb switched to db mydb
از دستور db، برای بررسی انتخاب صحیح نام پایگاه داده استفاده کنید:
>db mydb
اگر میخواهید لیست پایگاههای دادهی خود را چک کنید، از دستور show dbs استفاده کنید:
>show dbs local 0.78125GB test 0.23012GB
پایگاه داده ساخته شده توسط شما (mydb) ممکن است در لیست نمایش داده نشود. برای نمایش پایگاه داده، نیاز به درج حداقل یک سند داخل آن، دارید.
>db.movie.insert({"name":"tutorials point"})
>show dbs
local 0.78125GB
mydb 0.23012GB
test 0.23012GB در MongoDB، پایگاه داده پیش فرض تست است. اگر هیچ پایگاه داده ای نساخته اید، مجموعه در پایگاه داده test ذخیره میشود.
حذف یک پایگاه داده در MongoDB
متد ()dropDatabase
از دستور ()db.dropDatabase برای حذف یک پایگاه داده موجود استفاده میشود.
گرامر:
گرامر پایه دستور ()dropDatabase به شکل زیر است:
این دستور پایگاه دادهی انتخاب شده را حذف میکند. اگر هیچ پایگاه دادهای را انتخاب نکرده باشید، بصورت پیش فرض پایگاه داده test حذف خواهد شد.
مثال:
اول، لیست پایگاههای دادهی موجود را با استفاده از دستور show dbs ملاحظه کنید:
اگر میخواهید پایگاه داده <mydb> را حذف کنید، از دستور dropDatabase به شکل زیر استفاده کنید:
اکنون لیست پایگاههای داده را بررسی کنید:
حذف یک پایگاه داده در MongoDB
متد ()dropDatabase
از دستور ()db.dropDatabase برای حذف یک پایگاه داده موجود استفاده میشود.
گرامر:
گرامر پایه دستور ()dropDatabase به شکل زیر است:
db.dropDatabase()
مثال:
اول، لیست پایگاههای دادهی موجود را با استفاده از دستور show dbs ملاحظه کنید:
>show dbs local 0.78125GB mydb 0.23012GB test 0.23012GB >
>use mydb
switched to db mydb
>db.dropDatabase()
>{ "dropped" : "mydb", "ok" : 1 }
> >show dbs local 0.78125GB test 0.23012GB >
با توجه به اینکه این کد سمت کلاینت قابل ویرایش است ، راه حل امنی برای تعیین متصل بودن و یا غیرمتصل بودن یک ConnectionId محسوب نمیشود و ظاهرا تنها راه حل برای بررسی وضعیت اتصال یک ConnectionId ، چک کردن اتصال آن در دورههای زمانی مشخص است .
من چند تا از قسمتها را چک کردم. انگار همه آنها دارای transcript هم هستند. یعنی چیزی که در پادکست شنیده میشه به صورت متن هم در آمده است. این موضوع برای کسانی که با انگلیسی مشکل دارند خیلی خوب و کمک کننده هستش.
با سلام؛ در پروژه DNT، برای ثبت لاگ دستور
کار نمیکنه. میشه این دستور را یکبار چک کنید؟
_logger.LogInformation("LogInformation"); 
درسته. منظورم این بود که به نظر میاد وقتی نیاز باشه سمت سرور دسترسیها چک بشن، پیاده سازی بقیه موارد مثل نقشها و تاریخ انقضا و ...هم کار سختی نباشه
با سلام
امکان چک درخواستها بر ثانیه هم موجود است؟
و چگونه به UserAgent دسترسی داریم که بتوان اطلاعات کاربر رو در بانک لاگ کرد.
امکان چک درخواستها بر ثانیه هم موجود است؟
و چگونه به UserAgent دسترسی داریم که بتوان اطلاعات کاربر رو در بانک لاگ کرد.