我想知道我应用于网站目录的授权规则是否可以绕过?我的意思是有人可以(通过使用任何技巧或黑客)只是获得访问资源而没有特权?
答案 0 :(得分:1)
永远不要依赖web.config来保护ASP.Net MVC应用程序。我不确定这同样适用于ASP.Net Web Forms。
您无法使用路由或web.config文件来保护您的MVC应用程序。保护MVC应用程序唯一受支持的方法是将Authorize属性应用于每个控制器,并在登录和注册操作上使用新的AllowAnonymous属性。根据当前区域做出安全决策是非常糟糕的事情,并会将您的应用程序打开到漏洞中。
答案 1 :(得分:1)
如果可能,我们(ASP.NET团队)将被迫修补它。我们宣传开发人员可以使用基于URL的授权来可靠地保护WebForms页面。
您不得使用基于URL的授权来保护MVC操作或其他通过路由管道的操作。这是因为很容易进入可以通过多个URL访问特定MVC控制器或操作的情况,并且通常很难找出每个单独的排列并通过配置关闭它。请参阅Eric发布的链接以获取更多信息。