请在重复之前阅读整个问题。有类似但有所不同。
我有一个用户可以发布广告的网站。它是用ASP.NET编写的。所以 如果用户发布广告,则应通过审核路径。(涉及管理员)
例如:用户发布广告。然后管理员登录他的管理页面并查看广告,然后给予批准。
我在同一个解决方案文件中开发了它。目前我把这个页面放在一个文件夹中。要访问它,用户必须输入
www.test.com/admin/review.aspx
手动。因为该页面未从主网站链接。此管理员用户在用户帐户表中没有用户帐户。请注意,整个网站都使用 SSL 保护。
因此管理员必须输入密码才能进入此页面。此密码是硬编码的(无法从数据库获取)。
我使用正确的方法吗?黑客可以攻击这个页面吗?
我不希望搜索引擎将此页面编入索引。还有这个硬编码密码方法呢?这是一种安全的方式吗? 这是在这个域中实现此页面的好方法吗?我有这个网站的不同域名.org和.info等。我可以用这个来访问我的管理页面吗?
告诉我这样做的最佳和最安全的方法。非常感谢你。
答案 0 :(得分:0)
硬编码密码永远不是一个好主意:
管理页面的安全性应该基于URL被隐藏的事实。 URL很难保密,因为它们存储在浏览器和代理日志中,它们通过电子邮件发送,如果遵循链接或从其他域(例如JQuery)使用资源,则会泄漏到referer标头中。
隐藏搜索引擎中的网页是一个好主意,但是通过使用meta tags而不是robots.txt这样做,因为任何人都可以查看机器人以确定您的秘密网页的位置。
使用已建立的安全方法确保您的管理功能安全: