ویژوال استودیو 2013 چندین گزینه برای احراز هویت در قالبهای پیش فرض پروژههای ASP.NET Web Forms, MVC, Web API ارائه میکند: No Authentication Individual User Accounts Organizational Accounts Windows Authentication No Authentication اگر گزینه No Authentication را انتخاب کنید، پروژه ایجاد شده صفحاتی را برای ورود به سایت نخواهد ساخت. همچنین رابط کاربری ای برای نمایش کاربر فعلی، ...
سیستم ASP.NET Membership بهمراه ASP.NET 2.0 در سال 2005 معرفی شد، و از آن زمان تا بحال تغییرات زیادی در چگونگی مدیریت احزار هویت و اختیارات کاربران توسط اپلیکیشنهای وب بوجود آمده است. ASP.NET Identity نگاهی تازه است به آنچه که سیستم Membership هنگام تولید اپلیکیشنهای مدرن برای وب، موبایل و تبلت باید باشد. پیش زمینه: سیستم عضویت در ASP.NET ASP.NET Membership ASP.NET Membership طراحی شده بود ...
برای ایجاد امنیت در نرم افزار، باید ابتدا مشکلات رایج را بدانیم. یکی از رایجترین نقائص امنیتی نرم افزارها SQL Injection میباشد.
SQL Injection در لغت به معنی تزریق کد SQL میباشد. در اصلاح یعنی تزریق دستوراتی به کد SQL تولیدی یک نرم افزار به نحوی که به جای عمل مورد انتظار برنامه نویس آن، کاری را که ما میخواهیم انجام دهد. مثلا به جای اینکه هنگام ورود به برنامه وقتی کاربر مشخصات کاربری خود را وارد میکند، مشخصات کاربری را به نحوی و ...
در نگارشهای قبلی ASP.NET Web forms اگر نیاز به ارسال محتوای HTML ایی وجود داشت، میبایستی کل سیستم اعتبارسنجی حداقل یک صفحه را غیرفعال کرد. برای مثال: <%@ Page Language="C#" ValidateRequest="false" %>
این نقیصهی همه یا هیچ، در ASP.NET MVC وجود ندارد و میتوان به ازای یک خاصیت خاص، اعتبارسنجی پیش فرض را با اعمال ویژگی AllowHtml موقتا غیرفعال کرد؛ اما مابقی فیلدها و خاصیتهای فرم همچنان تحت نظر سیستم اعتبارسنجیهای ور ...
مرورگرهای جدید تحت زیر مجموعهای به نام Content Security Policy، قابلیتهای توکاری را اضافه کردهاند تا حملاتی مانند XSS را حتی در برنامهی وبی که برای این نوع حملات تمهیداتی را درنظر نگرفتهاست، خنثی کنند. این قابلیتها به صورت پیش فرض فعال نبوده و نیاز است برنامه نویس صراحتا درخواست فعال شدن آنها را از طریق افزودن تعدادی هدر مشخص به Response، ارائه دهد. در ادامه این هدرها را بررسی خواهیم کرد.
غیرفعال کردن اجرای اسکریپتهای i ...
یکی از مواردی را که به کرات در ارجاع دهندههای سایت مشاهده میکنم، درج صفحات سایت به صورت iframe داخل یک سری سایتهای تبلیغاتی بسیار سطحی است. سؤال: چگونه میتوان جلوی این حرکت نامطلوب را گرفت؟
برای اینکار نیاز است اسکریپت ذیل را به ابتدای اسکریپتهای سایت خود اضافه کنید: function defrm() {
document.write = '';
window.top.location = window.self.location;
setTimeout(function () {
document.body.i ...
یک سری از رباتها مدام سایتها را برای یافتن یک سری از اسکریپتهای خاص اسکن میکنند. IPهای آنها نیز عموما متعلق است به چین و هسایگان آن. مشکلی که با این رباتها وجود دارد این است که از یک IP خاص نشات نمیگیرند و به نظر صدها سرور آلوده را جهت مقاصد خود مورد استفاده قرار میدهند. به همین جهت نیاز است بتوان یک بازهی IP را در IIS بست. بستن یک بازهی IP در IIS 6
در IIS6 باید به خواص وب سایت و برگهی Directory security آن م ...
مرسوم است برای کش کردن خروجی یک اکشن متد در ASP.NET MVC از ویژگی OutputCache استفاده شود. نکتهی مهمی که در مورد نحوه پیاده سازی آن وجود دارد، استفاده از OutputCacheModule استاندارد ASP.NET است. در این حالت پس از فراخوانی ابتدایی اکشن متد و کش شدن محتوای حاصل از آن، در دفعهی بعد فراخوانی این آدرس خاص، اصلا چرخه کاری یک کنترلر روی نداده و تمام مسایل توسط OutputCacheModule به صورت مستقل و پیش از رسیدن آن به کنترلر، مدیریت میشوند.
...
فرض کنید یک پوشه Export در ریشه سایت دارید که حاوی تعدادی فایل PDF عمومی است. سؤال: آیا میشود دسترسی به فایلهای قرار گرفته در این پوشه عمومی را کنترل کرد؟ به نحوی که فقط کاربران عضو سایت پس از اعتبارسنجی بتوانند آنها را دریافت کنند؟
پاسخ: شاید عنوان کنید که میتوان از تگ location در فایل web.config برای اینکار استفاده کرد:<location path="Export">
<system.web>
<authorization>
<deny ...
به صورت پیش فرض دسترسی به تمامی اکشنها مجاز است مگر اینکه آن اکشن به تگ Authorize مزین شود.
حال Best Practice این است که حتی اگه شما یک یا دو اکشنی دارید که نیاز است کاربرای خاصی به آنها دسترسی داشته باشند بهتر است که دسترسی به تمام اکشنها محدود شود و بعد آن اکشنهایی که نیاز است دسترسی عمومی داشته باشند، بهشون دسترسی داده بشه. در واقع هدف از این Best Practice جلوگیری ...