使用ASP.NET应用程序我已使用自定义HttpModule实现了页面级访问控制,此HttpModule拦截每个传入请求,并检查连接的用户是否可以访问请求的页面不是它将他重定向到错误页面。
提前致谢。
答案 0 :(得分:3)
只要标准库中没有任何内容可以用于您想要的内容,只要您对模块进行了充分测试,这应该没问题。如果没有访问服务器本身来修改web.config文件,你就无法绕过HttpModule,如果攻击者已经这样做了,那么这是你最不担心的事情!
如果标准库中有某些东西可以使用,你应该更喜欢这个,因为它不可避免地会被其他人广泛测试过!
我建议为你的模块编写一套不错的单元测试,因为它将构成你应用程序的主要防线!
答案 1 :(得分:1)
这种方法是否足以保证应用程序的安全性,或者是否容易绕过它,
确保每个用户都有权调用URL。
它并不能保护您免受构成SQL注入基础的常见攻击 - 错误的参数验证和文本到SQL atocieties。