就安全性而言,ASP.NET Membership框架的声誉是什么?是否有任何典型的默认配置设置存在问题?那里有什么最佳实践?是否有任何内置方法可以解决会话劫持等问题?
答案 0 :(得分:5)
关于最佳实践,有一个名为ASP.NET 2.0 Security Inspection Questions的简短WIKI列出了使用成员资格提供程序时的安全注意事项。它可能有用吗?
答案 1 :(得分:2)
Omar AL Zabir在博客上发表了他对高用户网站实施所需的存储过程所做的一些更新。他的建议基本上是使用
WITH (NOLOCK)
或
SET TRANSACTION ISOLATION LEVEL READ UNCOMMITTED
在成员资格存储过程中的SELECT查询之前。
Optimize asp net membership stored procedures for greater speed and scalability
答案 2 :(得分:1)
我不确定这是否是ASP.NET Membership位本身的问题,但是不要忘记确保在服务器上生成了一个秘密并在POST上进行了身份验证,这样您就可以确定表格帖子来自你的应用程序。
可能还有其他(更好)的方法,我只是分享我所知道的