面向互联网的网站ASP.MVC的防御技术

时间:2009-12-03 15:18:16

标签: asp.net-mvc defensive-programming

我正在开发我的第一个asp MVC项目,该项目最终会在一个可公开访问的Web服务器上运行(我曾在MVC中使用过一些内部应用程序)。我应该考虑哪些技术,实践(特定于MVC或其他)以提高安全性。

显然,我的头顶有行动的AcceptVerb属性和验证还有什么?

3 个答案:

答案 0 :(得分:1)

答案 1 :(得分:1)

有几点:

  • 对每个用户输入进行编码
  • 使用anti forgery tokens
  • 对每个修改状态的请求使用POST谓词

答案 2 :(得分:1)

Windows Live团队编写了一份白皮书,描述了在某些Windows Live属性上使用ASP.NET MVC获得的经验教训。他们进行了大量的安全性分析,并在此提出了安全提示:

http://www.microsoft.com/downloads/details.aspx?FamilyID=7606f801-70c5-49ca-a18c-91d4ed725833&displaylang=en