我正在使用ASP.NET并依赖web.config文件来保护我网站的各个部分。但是,这是真的可靠,还是在IsAuthenticated事件中添加Page_Load检查也是个好主意?此外,有人可以在我的应用程序的DLL中直接调用方法(假设他们以某种方式得到我的方法名称和方法签名)吗?例如,我有一种方法可以将用户添加到特定组。攻击者可以通过自己的自定义POST以某种方式调用该方法并执行它吗?
感谢
答案 0 :(得分:2)
如果您担心未经许可执行的特定方法,我会使用代码属性安全性或您自己的角色检查系统来保护该方法,无论谁在调用它。我可以想象甚至友好的开发人员在不确保代码路径有权执行特权函数的情况下偶然调用方法的情况。